Attacchi in Italia, la Cina colpisce gli USA, un gruppo iraniano si ispira a TTP nordcoreane

Italia: colpita CNPR e rilevati attacchi di phishing e ransomware

In data 22 ottobre 2024, la Cassa Nazionale di Previdenza ed Assistenza a favore dei Ragionieri e Periti Commerciali (CNPR) ha rilevato un accesso abusivo ai propri sistemi informatici eseguito da ignoti attraverso un attacco informatico. L’ente ha confermato che tale intrusione ha portato alla violazione dei dati di utenti (iscritti e pensionati), dipendenti e referenti presso aziende fornitrici. Tra le informazioni compromesse riguardanti iscritti e pensionati figurano: dati anagrafici e di contatto, documenti di riconoscimento, informazioni reddituali, dati sanitati, dettagli sulla situazione familiare, origine razziale o etnica e appartenenza sindacale. Quanto ai dipendenti dell’ente di previdenza, risultano impattate le stesse informazioni con l’aggiunta dei dati di pagamento. Infine, per i fornitori della CNPR, sono interessati dati anagrafici, di contatto e coordinate bancarie, oltre a informazioni circa il ruolo nell’organizzazione del fornitore stesso. Il potenziale impatto di questa violazione è considerato alto, con rischi significativi legati all’utilizzo illecito dei dati interessati per finalità quali furti d’identità, frodi e conoscenza da parte di terzi non autorizzati. Oltre a ciò, sono state tracciate nuove operazioni con target Italia. Un attacco di phishing a tema DocuSign, una nota piattaforma per la firma elettronica e la gestione dei documenti, ha distribuito allegati HTML progettati per rubare le credenziali degli utenti; mentre una nuova ondata di una campagna di smishing a tema Hype, ha puntato a esfiltrare i codici di accesso ai servizi bancari della fintech company italiana. Infine, passando al mondo ransomware, Medusa Team ha rivendicato sul proprio sito dei leak la compromissione di Manens S.p.A., società multidisciplinare che fornisce servizi di ingegneria e architettura, con sede a Padova.

USA: nuovi dettagli sulle operazioni cinesi che hanno colpito il Paese

L’FBI ha informato uno dei principali avvocati del Presidente eletto Donald Trump che il suo cellulare è stato intercettato da avversari cinesi. La notizia è stata fornita da tre fonti che hanno familiarità con la questione, nell’ambito di un’operazione ad ampio raggio, in corso da mesi, che ha preso di mira i principali esponenti politici repubblicani e democratici statunitensi. Inoltre, sempre in seguito al recente attacco cinese a opera di GhostEmperor (Salt Typhoon) all’infrastruttura delle telecomunicazioni statunitensi, il Consumer Financial Protection Bureau (CFPB) ha invitato i dipendenti a ridurre l’uso dei telefoni cellulari per questioni di lavoro. La notizia sarebbe stata riportata da fonti vicino alla vicenda. In particolare, è stato riferito che l’agenzia ha inviato un’e-mail a tutti i dipendenti e contractor con una semplice direttiva: non effettuare attività del CFPB utilizzando chiamate vocali o messaggi di testo da cellulare. Per quanto riguarda GhostEmperor, ricercatori di sicurezza hanno analizzato due diverse catene d’infezione utilizzate dall’APT cinese. Entrambe hanno alcune caratteristiche comuni, come lo sfruttamento di vulnerabilità in sistemi quali i server Microsoft Exchange e strumenti di gestione delle schede di rete. Tuttavia, vi sono anche differenze significative. La prima usa PsExec e la riga di comando WMI (WMIC) per il movimento laterale, adoperando tool come Trillclient, Hemigate e una backdoor inedita chiamata Crowdoor, consegnati tramite file CAB. La seconda, invece, utilizza malware come Zingdoor, Cobalt Strike e Deed RAT (Snappybee), oltre a utility come PortScan e NinjaCopy, veicolati tramite download di cURL. Ambedue le catene d’infezione dimostrano persistenza aggiornando continuamente le installazioni esistenti degli strumenti, consentendo campagne prolungate e la capacità di rimanere all’interno delle reti compromesse.

TA455: rilevata l’Operation Dream Job iraniana

Una campagna iraniana attribuita a un avversario chiamato TA455 – riconducibile a Tortoiseshell – almeno dal settembre 2023 ha preso di mira l’industria aerospaziale, dell’aviazione e della Difesa offrendo falsi posti di lavoro e prendendo spunto dalla cosiddetta Operation Dream Job del nordcoreano Lazarus Group. L’operazione ha previsto la distribuzione di un malware denominato SnailResin, che attiva una backdoor chiamata SlugResin. Vista la somiglianza nelle TTP adoperate tra TA455 e Lazarus Group, si presume che l’attaccante iraniano abbia impersonato l’operazione nordcoreana per nascondere le proprie attività o che la Corea del Nord abbia condiviso con l’Iran i propri metodi e strumenti di attacco. Nel dettaglio, TA455 ha intenzionalmente tentato di fuorviare i ricercatori e ostacolare l’attribuzione, utilizzando esche, TTP e malware simili a quelli di Lazarus Group. Per celare la propria infrastruttura e le comunicazioni C2, l’APT ha sfruttato servizi online legittimi come Cloudflare, GitHub e Microsoft Azure. Inoltre, ha usato un processo di infezione multifase accuratamente progettato per aumentare le probabilità di successo e minimizzare il rilevamento. La catena d’attacco identificata utilizza falsi siti web di reclutamento e profili LinkedIn per distribuire un archivio ZIP che contiene, tra gli altri, un eseguibile e una DLL malevola caricata tramite la tecnica del DLL Side-Loading, ovvero SnailResin. Si segnala inoltre che, nel febbraio 2024, era già stato riferito di sospette attività di spionaggio da parte del collettivo, rivolte all’industria aerospaziale, dell’aviazione e della Difesa nei Paesi del Medio Oriente, tra cui Israele e gli Emirati Arabi Uniti (EAU), oltre a Turchia, India e Albania.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence all’interno del portafoglio di cybersecurity di Telsy.