Caso dossieraggio in Italia, APT nordcoreani in fermento, scoperte 0-day QNAP

Italia: nuovi dettagli sull’inchiesta milanese inerente attività di dossieraggio

Il 26 ottobre 2024 sono stati rivelati i primi esiti di un’inchiesta della Direzione Distrettuale Antimafia di Milano che ha portato alla scoperta di un vasto caso di dossieraggio. Nell’attività criminale sarebbero coinvolte una serie di persone e alcune società, le quali fornivano su commissione e a pagamento report informativi basati su dati, informazioni e notizie – riservati o segreti – raccolti illecitamente. L’attività si sarebbe basata su accessi abusivi a diverse banche dati istituzionali. Fra le migliaia di questi accessi, la maggior parte riguarderebbe il Sistema D’Indagine (SDI) del Ministero dell’Interno, ma vi sarebbero anche Serpico dell’Agenzia delle Entrate, la banca dati dell’INPS, gli archivi dell’Anagrafe nazionale della popolazione residente (ANPR) e il Sistema informativo valutario (Siva) legato alle segnalazioni di operazioni sospette (SOS), trasmesse dall’Unità di informazione finanziaria (UIF) della Banca d’Italia. Gli accessi illegittimi sarebbero avvenuti grazie alla collaborazione di pubblici ufficiali infedeli che avevano le credenziali legittime, oppure grazie alla cooperazione illecita di altri soggetti attivi nel settore investigativo. Risulterebbero attività indebite ai danni di molte centinaia di migliaia di persone fisiche e giuridiche. L’organizzazione criminale avrebbe fatto registrazioni audio e video e avrebbe intercettato e-mail e chat da usare per altre attività malevole. Inoltre, avrebbe acquisito tabulati di conversazioni telefoniche ed effettuato il positioning (localizzazione geografica) di cellulari grazie alla collaborazione di un soggetto che operava dalla Svizzera. Le società coinvolte sono tre operanti nel medesimo settore. Una di esse, secondo quanto riportato da fonti giornalistiche, sarebbe la Equalize, che formalmente si occupa di Business Intelligence e di Reputazione aziendale. Fra i clienti – il cui interesse sarebbe stato soprattutto di tipo economico e imprenditoriale – vi sarebbero studi legali e aziende operanti in Italia e all’estero. Secondo fonti di stampa, vi sarebbero anche alcuni media. Fra gli indagati, il cui numero complessivo ammonterebbe ad alcune decine, vi sono persone appartenenti alle Forze di Polizia, tecnici informatici altamente specializzati, soggetti del settore informatico e delle investigazioni private e delle informazioni commerciali. I reati ipotizzati nel complesso comprendono: associazione per delinquere finalizzata alla consumazione di altri reati; accesso abusivo al sistema informatico-telematico protetto da misure di sicurezza; corruzione; intercettazione illecita di comunicazioni telematiche e informatiche; detenzione di strumentazioni che consentono di svolgere tali attività; favoreggiamento personale. Dal punto di vista cyber, al momento, va segnalata almeno un’ipotesi di diretta violazione dell’infrastruttura informatica, emergente da alcune conversazioni intercettate dai Carabinieri.

APT: identificate nuove operazioni dei nordcoreani ScarCruft e Lazarus Group

Ricercatori di sicurezza hanno identificato una serie di recenti attacchi di spear phishing di ScarCruft, che hanno previsto l’uso del malware PEBBLEDASH e di un’utility open source che supporta funzionalità di desktop remoto chiamata RDP Wrapper. Tali offensive hanno preso di mira individui e organizzazioni che lavorano nei settori pubblico, legale e accademico, con una serie di casi confermati contro alcune aziende. Quanto a Lazarus Group, è stato identificato come responsabile di un attacco ransomware basato su Play. Stando a quanto osservato, si ritiene con un livello moderato di confidenza che l’APT di Pyongyang, o una delle sue fazioni, stia attualmente collaborando con il gruppo ransomware PLAY Team. L’indagine ha rivelato che l’avversario ha ottenuto l’accesso iniziale tramite un account utente compromesso nel maggio 2024. Successivamente, ha effettuato un movimento laterale e mantenuto la persistenza diffondendo una versione custom del tool open-source Sliver e l’infostealer Dtrack ad altri host tramite il protocollo Server Message Block (SMB). Questi strumenti remoti hanno continuato a comunicare con il loro server C2 fino all’inizio di settembre, portando alla distribuzione del ransomware Play. Al momento, non è chiaro se Lazarus Group sia diventato ufficialmente un affiliato di PLAY Team o se abbia agito come Initial Access Broker (IAB) vendendo accesso alla rete al gruppo ransomware. Se davvero PALY Team non fornisce un ecosistema Ransomware-as-a-Service (RaaS) come sostiene, l’APT nordcoreano potrebbe aver agito solo come IAB.

QNAP: risolte vulnerabilità critiche sfruttate al Pwn2Own Ireland 2024

QNAP ha rilasciato due advisory – QSA-24-41 e QSA-24-42 – per notificare due vulnerabilità 0-day critiche rispettivamente nei prodotti HBS 3 Hybrid Backup Sync e SMB Service. Entrambe le falle sono state rilevate e sfruttate durante la competizione Pwn2Own Ireland 2024. La prima, tracciata con codice CVE-2024-50388, è una OS Command Injection in HBS 3 Hybrid Backup Sync che può consentire ad avversari remoti di eseguire comandi arbitrari. La seconda, invece, è stata individuata con codice CVE-2024-50387 ed è una SQL Injection (SQLi) in SMB Service. Il suo sfruttamento ha permesso di ottenere una root shell e prendere il controllo di un dispositivo QNAP TS-464 NAS. Nonostante i vendor abbiano 90 giorni di tempo per correggere i problemi di sicurezza prima che la Zero Day Initiative di Trend Micro rilasci i dettagli su di essi emersi durante la gara Pwn2Own, QNAP ha risolto entrambe le vulnerabilità nel giro di una settimana.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence