Vulnerabilità ITW, nuove offensive di APT 29 in Ucraina e non solo, rivendicazioni ransomware in Italia
28 Ottobre 2024Vulnerabilità: sfruttate falle di Fortinet, Samsung, Cisco, Roundcube Webmail e ScienceLogic
Fortinet ha reso nota una vulnerabilità critica dell’API di FortiManager – soprannominata FortiJump – che è stata sfruttata in attacchi 0-day per rubare file sensibili contenenti configurazioni, indirizzi IP e credenziali dei dispositivi gestiti. Tracciata con codice CVE-2024-47575 (CVSS 9.8), la falla è una Missing Authentication for Critical Function nel demone fgfmd di FortiManager che può consentire a un attaccante non autenticato remoto di eseguire codice o comandi arbitrari tramite richieste appositamente create. Stando a quanto osservato, la vulnerabilità risulta sfruttata a partire dal 27 giugno 2024 da un cluster identificato come UNC5820. Quest’ultimo ha raccolto ed esfiltrato dati di configurazione dei dispositivi FortiGate gestiti dai FortiManager compromessi, riguardanti dettagli sulla configurazione dei device, nonché sugli utenti e le loro password FortiOS256-hashed. Dal canto suo, Google Project Zero ha avvertito circa lo sfruttamento di una 0-day nel driver m2m scaler dei Mobile Processor e Wearable Processor Exynos di Samsung – risolta il 7 ottobre 2024 – come parte di una catena di exploit per ottenere l’esecuzione di codice arbitrario. Individuata con codice CVE-2024-44068 (CVSS 8.1), la falla è una Use After Free che porta all’escalation dei privilegi. Cisco, invece, ha riferito dell’uso malevolo della vulnerabilità CVE-2024-20481 (CVSS 5.8), una Missing Release of Resource after Effective Lifetime in Cisco Adaptive Security Appliance e Cisco Firepower Threat Defense Software. In aggiunta, ricercatori di sicurezza hanno osservato tentativi di sfruttamento di una falla in Roundcube Webmail, corretta il 19 maggio 2024, come parte di un attacco di phishing volto a rubare le credenziali degli utenti, che ha preso di mira un’entità governativa di un Paese della Comunità degli Stati Indipendenti (CSI). Nel dettaglio, si tratta di CVE-2024-37383 (CVSS 6.1), di tipo Stored Cross-site Scripting (XSS), la quale si trova nel codice che elabora gli elementi SVG nel markup del corpo del messaggio di posta e consente a un avversario di eseguire codice JavaScript sulla pagina dell’utente. Infine, la CISA ha aggiunto al suo catalogo delle vulnerabilità sfruttate ITW, tra le altre, CVE-2024-9537 (CVSS 9.3) che impatta ScienceLogic SL1. La falla si riferisce a un problema di sicurezza che coinvolge un componente di terze parti non specificato che potrebbe portare all’esecuzione di codice remoto.
Ucraina: rilevata campagna di phishing di UAC-0215, presumibilmente APT 29
Il CERT-UA ha rilevato una campagna di phishing su larga scala, condotta da un cluster identificato come UAC-0215 – probabilmente APT 29 – e rivolta contro autorità pubbliche, società delle principali industrie del Paese e Forze militari ucraine, che ha previsto l’uso di argomenti esca presumibilmente correlati a questioni di “integrazione” con servizi Amazon e Microsoft e all’implementazione dell’architettura Zero trust (ZTA). Stando a quanto osservato, le e-mail identificate contenevano in allegato un file di configurazione per l’impostazione del protocollo RDP (.rdp) che, una volta eseguito, assicurava la creazione di una connessione RDP in uscita verso il server dell’avversario. A seconda dei parametri del file RDP, tale connessione non solo forniva al server remoto l’accesso ai dischi, alle risorse di rete, alle stampanti, alle porte COM, ai dispositivi audio, alla clipboard e ad altre risorse del computer locale, ma creava anche i prerequisiti tecnici per l’avvio di programmi/script di terze parti sul computer della vittima.
Il Computer Emergency Response Team di Kiev ha inoltre riferito che l’operazione non è limitata all’Ucraina, ma ha un’ampia portata geografica, sottolineando che tale informazione è stata confermata anche da organizzazioni di sicurezza informatica di altri Paesi. Inoltre, l’analisi dei nomi di dominio tracciati suggerisce che l’infrastruttura in questione è stata preparata almeno dall’agosto 2024. In seguito alla pubblicazione dell’advisory dell’Agenzia ucraina, Amazon ha riferito di aver identificato i domini internet utilizzati da APT 29. Secondo quanto esaminato, nel caso in questione i suoi target erano associati ad agenzie governative, imprese e militari – come del resto riportato anche dal CERT-UA – e la campagna di phishing era apparentemente finalizzata a rubare credenziali. Il gruppo finanziato da Mosca ha inviato le e-mail di phishing in lingua ucraina a un numero significativamente maggiore di obiettivi rispetto al suo tipico approccio mirato. Alcuni dei nomi di dominio utilizzati hanno cercato di ingannare le vittime facendogli credere si trattasse di domini AWS; tuttavia, Amazon non era il target, né l’avversario stava cercando i codici di accesso dei clienti AWS. In realtà, APT29 mirava alle credenziali Windows degli obiettivi attraverso Microsoft Remote Desktop. L’azienda ha dichiarato che, non appena è venuta a conoscenza dell’attività, ha immediatamente avviato il processo di sequestro dei domini sfruttati dall’APT che impersonavano AWS, al fine di interrompere l’operazione.
Italia: attacchi ransomware rivendicati da diversi operatori Nella settimana appena conclusa, diversi gruppi ransomware hanno rivendicato la compromissione di target italiani. Nello specifico, RansomHub Team ha annunciato la violazione di QS Group S.p.A., azienda italiana specializzata nella progettazione e costruzione di macchinari e impianti industriali per diversi settori; Medusa Team di Automha S.p.A., società italiana specializzata nell’automazione intralogistica; Monti Team di La Tazza d’oro, storica torrefazione sarda che dal 1938 produce ed esporta miscele di caffè; mentre Black Suit ha reclamato la sua responsabilità dietro l’attacco al Gruppo Teddy (Teddy S.p.A.), avvenuto lo scorso 7 ottobre 2024. Ad essi si aggiunge un avversario inedito chiamato Interlock, il quale ha sferrato un attacco contro Smeg S.p.A., azienda famigliare italiana che produce elettrodomestici. Stando a quanto riportato, l’operatore avrebbe esfiltrato 820 GB di documenti aziendali, compreso un dump delle caselle di posta elettronica di tutti i dipendenti, oltre ai loro dati personali e a informazioni sugli andamenti della società. Il colosso degli elettrodomestici aveva riferito di aver rilevato in data 27 settembre un’anomalia nei processi di rete, che ha temporaneamente compromesso la normale operatività dei sistemi aziendali. Stando a quanto riportato all’epoca da fonti locali, l’incidente ha colpito il software che gestisce processi di produzione, logistica, risorse umane e contabilità.
Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.
Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.
Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. Scopri di più sulla nostra soluzione di Cyber Threat Intelligence