WEEKLY THREATS

L’Italia nel mirino di diverse offensive cyber, vulnerabilità sfruttate ITW, APT cinesi bersagliano il settore Telco

25 Novembre 2024
APT cinesi Telco TS-Way cover

Italia: attacchi ransomware e campagne di phishing mirano a target del Paese

Nella settimana appena conclusa diversi target italiani sono finiti nel mirino di vari operatori ransomware. In data 18 novembre 2024 INPS Servizi S.p.A., società per azioni in house providing interamente partecipata da INPS, ha subito un attacco, presumibilmente ad opera del gruppo Lynx Team, che avrebbe portato alla cifratura di tutti i data store presenti nell’infrastruttura con conseguente indisponibilità dei dati e dei server. In aggiunta, Everest Team ha rivendicato sul proprio sito dei leak la compromissione di Bio-Clima Service S.r.l.; DragonForce Team di Nunziaplast S.r.l. e SUSTA S.r.l.; e l’inedito SAFEPAY Team di Onnicar S.r.l. Infine, Black Basta Team ha reclamato la sua responsabilità dietro l’attacco alla ISA S.p.A. di Bastia Umbra (PG), avvenuto in data 22 ottobre 2024. Oltre a ciò, sempre sul territorio nazionale, sono state rilevate – tra le altre – quattro campagne di phishing. La prima è volta alla distribuzione di Nocturnal Stealer sfruttando caselle PEC compromesse. La seconda ha veicolato il RAT Remcos tramite un’e-mail a tema avviso di pagamento UniCredit. Quanto alla terza, si tratta di un’operazione di smishing a tema benefici previdenziali che sfrutta nomi e loghi riferibili ai servizi erogati dall’Istituto Nazionale Previdenza Sociale (INPS). Da ultimo, la quarta campagna ha adoperato nomi e loghi del servizio per la condivisione di file WeTransfer e del pannello di controllo per la gestione e l’amministrazione di siti internet cPanel, al fine di acquisire le credenziali di posta elettronica delle vittime tramite un bot Telegram.

Vulnerabilità: segnalate falle sfruttate in Palo Alto Networks, Apple e VMware

Palo Alto Networks e Apple hanno rilasciato bollettini di sicurezza per notificare 0-day inedite nei propri prodotti. La multinazionale di Santa Clara ha riferito di due vulnerabilità sfruttate ITW in PAN-OS. La prima, tracciata con codice CVE-2024-0012 (CVSS 9.3), è una Authentication Bypass critica che consente a un utente non autenticato con accesso di rete all’interfaccia web di gestione di ottenere i privilegi di amministratore di PAN-OS per eseguire azioni amministrative, manomettere la configurazione o sfruttare altre vulnerabilità di tipo Authenticated Privilege Escalation. L’attività di exploitation di tale falla è stata identificata con il nome di Operation Lunar Peek. La seconda, invece, è individuata con codice CVE-2024-9474 (CVSS 6.9) ed è una Privilege Escalation che permette a un amministratore PAN-OS con accesso all’interfaccia web di gestione di eseguire azioni sul firewall con privilegi root. Per quanto riguarda la casa di Cupertino, sono stati rilasciati aggiornamenti per correggere due 0-day che potrebbero essere state sfruttate attivamente su sistemi Mac basati su Intel. Si tratta rispettivamente di CVE-2024-44308 nel componente JavaScriptCore e CVE-2024-44309, ovvero un problema di gestione dei cookie in WebKit. L’elaborazione di contenuti web creati in modo malevolo può portare nel caso di CVE-2024-44308 all’esecuzione di codice arbitrario, mentre in quello di CVE-2024-44309 a un attacco di Cross-Site Scripting. A queste si aggiungono due vulnerabilità precedentemente segnalate in VMware vCenter Server che risultano sfruttate ITW. Le falle in oggetto sono la Heap Overflow nell’implementazione del protocollo DCERPC CVE-2024-38812 (CVSS 9.8) e la Privilege Escalation CVE-2024-38813 (CVSS 7.5), che consente agli attaccanti di elevare i privilegi a root con un pacchetto di rete appositamente creato.


Cina: preso di mira il settore delle telecomunicazioni

Nell’ambito dell’ondata di violazioni delle Telco statunitensi recentemente denunciate e probabilmente condotte dal cinese GhostEmperor (Salt Typhoon), l’americana T-Mobile ha confermato di essere stata compromessa. Da quanto comunicato, i sistemi e i dati della società non sembrano essere stati colpiti in modo significativo. Inoltre, non sono state riscontrate evidenze di alcun impatto sui clienti. La violazione di T-Mobile amplia l’elenco delle vittime della campagna, che alcuni funzionari statunitensi considerano di portata e gravità storica. Fonti vicini alla questione hanno riferito che gli investigatori suppongono che l’APT di Pechino abbia utilizzato metodi sofisticati per infiltrarsi nelle infrastrutture delle Telco americane, incluse vulnerabilità di router Cisco (nonostante la smentita del vendor stesso). Un ulteriore gruppo verosimilmente finanziato dalla Cina, denominato Liminal Panda, è stato collegato a una serie di sofisticati attacchi che almeno dal 2020 hanno preso di mira società di telecomunicazione in Asia meridionale e Africa con l’ausilio di malware custom, strumenti disponibili pubblicamente e software proxy. L’avversario ha dimostrato un’ampia conoscenza di tali reti e ha emulato i protocolli Global System for Mobile Communications (GSM) per consentire il C2 e lo sviluppo di tool atti a recuperare dati sugli abbonati mobili, metadati delle chiamate e messaggi di testo. Le probabili motivazioni operative di Liminal Panda sono strettamente allineate con operazioni di Signals Intelligence (SIGINT) per la raccolta di informazioni.


Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence