Attacchi negli USA e in Russia, vulnerabilità sfruttate ITW, phishing e ransomware in Italia

USA e Russia: compromessi ISP statunitensi, colpita la holding mediatica russa VGTRK

Recentemente è stato riferito da alcune fonti che il gruppo cinese GhostEmperor (Salt Typhoon) avrebbe compromesso i sistemi di non meglio precisati ISP negli Stati Uniti alla ricerca di informazioni sensibili. Stando agli ultimi aggiornamenti, sembrerebbe che tra le aziende colpite siano presenti Verizon, AT&T e Lumen Technologies. In particolare, l’avversario sarebbe penetrato nelle reti di un’ampia fascia di fornitori di banda larga statunitensi, accedendo potenzialmente alle informazioni dei sistemi utilizzati dal governo federale per le richieste di intercettazioni di rete autorizzate dal tribunale. Secondo persone che hanno familiarità con la questione, l’attaccante potrebbe aver avuto accesso per mesi o più all’infrastruttura di rete utilizzata per cooperare con le richieste legali degli Stati Uniti di dati sulle comunicazioni. Gli investigatori stanno ancora lavorando per confermare la portata dell’offensiva e il livello di accesso ai dati da parte dell’avversario. Sembra che il gruppo si sia impegnato in una vasta raccolta di traffico internet proveniente dagli ISP, che annoverano tra i loro clienti grandi e piccole aziende, oltre a milioni di cittadini americani. Inoltre, ci sono indicazioni secondo cui la campagna avrebbe preso di mira un numero limitato di fornitori di servizi al di fuori degli Stati Uniti. Spostandoci in Russia, diverse fonti mediatiche nazionali e internazionali hanno riportato che il portavoce del Cremlino, Dmitry Peskov, ha riferito di un attacco informatico senza precedenti, subito dalla holding mediatica statale russa VGTRK. La stessa emittente radiotelevisiva ha dichiarato che nella notte tra il 6 e il 7 ottobre i suoi servizi online sono stati oggetto di un’offensiva informatica, la quale, tuttavia, non ha arrecato danni significativi al lavoro della società. Secondo quanto riportato, nonostante i tentativi di interrompere le trasmissioni dei canali televisivi federali e delle stazioni radiofoniche, tutto ha funzionato normalmente.

0-day: sfruttate ITW falle di Microsoft, Ivanti, Qualcomm e Mozilla

Microsoft ha rilasciato il bollettino di sicurezza per il mese di ottobre che comprende 118 vulnerabilità, di cui 2 sfruttate ITW. Queste ultime sono CVE-2024-43573 (CVSS 6.5) e CVE-2024-43572 (CVSS 7.8). La prima è classificata come MSHTML Platform Spoofing, è molto simile a CVE-2024-38112, patchata a luglio nello stesso componente e sfruttata dall’APT Void Banshee. Microsoft non ha comunicato se si tratta dello stesso gruppo, ma alcuni analisti sospettano che la patch originale fosse insufficiente. Quanto a CVE-2024-43572, è stata classificata come Management Console Remote Code Execution. In particolare, per essere sfruttata, un attaccante dovrebbe inviare uno snap-in MMC malevolo e far sì che un utente carichi il file. Inoltre, Ivanti ha corretto CVE-2024-9380 (CVSS 7.2) e CVE-2024-9379 (CVSS 6.5), presenti nella console di amministrazione web di Ivanti CSA. CVE-2024-9380 è una OS Command Injection che consente a un utente remoto autenticato con privilegi di amministrazione di ottenere l’esecuzione di codice; mentre CVE-2024-9381 è una Path Traversal che permette a un avversario remoto autenticato con privilegi di amministratore di bypassare le restrizioni. Il vendor è a conoscenza di un numero limitato di clienti, che utilizzano la versione 4.6 di CSA, vittime di attacchi basati sullo sfruttamento di tali vulnerabilità, quando concatenate con CVE-2024-8963. Quest’ultima è presente in CSA 4.6 patch 518 e precedenti, e potrebbe portare all’esecuzione di codice remoto non autenticato. Infine, tra le altre 0-day della settimana troviamo CVE-2024-43047 (CVSS 7.8), una Use After Free nei DSP Service di Qualcomm, e la Use After Free critica CVE-2024-9680 in Firefox di Mozilla.

Italia: rilevate nuove campagne di phishing e attacchi ransomware

È stata tracciata una campagna di phishing a tema INPS che mira a sottrarre numerosi dati sensibili agli utenti, promettendo un’erogazione di denaro da parte dell’Istituto. Con il pretesto di richiedere la conferma dell’identità del presunto beneficiario, oltre a generalità, IBAN e un selfie, i criminali inducono la vittima a caricare foto della carta d’identità, della patente, della tessera sanitaria e della busta paga. In aggiunta, è stata rilevata un’ulteriore operazione che sfrutta nome e logo della Polizia di Stato italiana al fine di acquisire le credenziali e-mail delle vittime. Stando a quanto analizzato, l’attività prevede l’uso di un endpoint API di Webflow per l’invio dei dati rubati. Passando al panorama ransomware, nuovi attacchi hanno colpito target italiani. L’operatore ElDorado a rivendicato sul proprio sito dei leak la compromissione di Avio e Sforza Amministrazioni Immobiliari, studio specializzato nelle amministrazioni immobiliari con sede a Genova. 8BASE Team avrebbe reclamato, invece, sul proprio portale la violazione di Daldoss Elevetronic S.p.A., azienda familiare che disegna e produce ascensori, montacarichi e piattaforme elevatrici per persone e merci. Inoltre, Meow Leaks ha annunciato la messa in vendita di 19 GB di dati appartenenti a LA FUTURA S.r.l., azienda lombarda che fornisce distributori automatici in comodato d’uso. Infine, un nuovo gruppo ransomware chiamato Sarcoma Group avrebbe compromesso Studio Navarra & Marzano, studio di consulenza tributaria e d’impresa con sede a Milano.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence