Rilevate operazioni APT di lunga durata, pubblicati alcuni exploit PoC, segnalate offensive in ambito cybercrime
09 Dicembre 2024
APT: rilevate attività di spionaggio durature finanziate da Russia e Cina
Un’operazione di spionaggio del russo Turla Group, in corso dal novembre 2022, ha previsto l’uso dell’infrastruttura C2 del pakistano Barmanou per installare malware e raccogliere informazioni su target di interesse in Asia meridionale, in particolare entità in Afghanistan e India. Nel dettaglio, l’APT di Mosca si è infiltrato con successo in 33 distinti nodi C2 di Barmanou – impiegati a loro volta per violare realtà afghane e indiane – per poi distribuire una fork di TinyTurla o una backdoor .NET custom inedita chiamata TwoDash insieme a un trojan custom per il monitoraggio della clipboard denominato Statuezy. Successivamente, la posizione privilegiata sui C2 di Barmanou gli ha permesso di appropriarsi di backdoor di quest’ultimo – quali CrimsonRAT e una presente ITW basata su Golang soprannominata Wainscot – per veicolare i propri implant – TwoDash e un downloader custom nominato MiniPocket – sui dispositivi compromessi dal pakistano. Al momento, il meccanismo di accesso iniziale non è noto. Spostandoci in Cina, all’inizio del 2024 una grande organizzazione statunitense con una presenza significativa nella Repubblica Popolare Cinese, è stata oggetto di un’offensiva durata quattro mesi condotta da un presunto avversario cinese. Sebbene sia possibile che l’effettiva intrusione nella rete sia avvenuta precedentemente, le prime prove dell’attività dell’attaccante risalgono all’11 aprile per poi proseguire fino ad agosto. L’avversario ha utilizzato diverse applicazioni legittime per distribuire malware, sfruttando la tecnica del DLL Side-Loading, oltre ai tool Impacket, FileZilla e PSCP, e a diversi strumenti Living-off-the-Land. Stando a quanto osservato, sono state individuate attività come il dump di credenziali, il Kerberoasting per sottrarre codici di accesso di account privilegiati, l’uso di query su Active Directory e registri di eventi e, infine, l’installazione di tool per l’esfiltrazione di dati.
Vulnerabilità: disponibili exploit PoC per CVE di Progress Software e Mitel
A inizio settimana è stato pubblicato un exploit Proof-of-Concept (PoC) per la vulnerabilità critica CVE-2024-8785 (CVSS 9.8) in WhatsUp Gold di Progress Software. Scoperta a metà agosto 2024 e corretta il 24 settembre, la falla è classificata come Registry Overwrite Remote Code Execution in NmAPI.exe – un’applicazione Windows Communication Foundation (WCF) – nelle versioni di WhatsUp Gold precedenti alla 24.0.1. Un avversario remoto non autenticato potrebbe sfruttare questa vulnerabilità per ottenere l’esecuzione di codice remoto sul sistema interessato. L’abuso di CVE-2024-8785 non richiede l’autenticazione e, poiché NmAPI.exe è accessibile in rete, il rischio che rappresenta è significativo. Quanto a Mitel, ricercatori di sicurezza hanno scoperto una 0-day, tuttora irrisolta, nella piattaforma di collaborazione MiCollab – il cui codice CVE è riservato – e hanno rilasciato un exploit PoC che mette insieme l’inedita 0-day con CVE-2024-41713 (corretta il 9 ottobre). Quest’ultimo garantisce a un attaccante la possibilità di accedere ai file dalle istanze sensibili. Entrambe le falle sono di tipo Path Traversal e sono dovute a una Insufficient Input Validation. In particolare, CVE-2024-41713 potrebbe consentire a un avversario non autenticato di condurre un attacco di Path Traversal; mentre, la 0-day potrebbe permettere a un utente autenticato con privilegi amministrativi di leggere file locali all’interno del sistema.
Cybercrime: compromissioni ransomware, leak e campagne di phishing
In ambito domestico, anche questa settimana diversi operatori ransomware hanno colpito numerose realtà italiane. Nello specifico, un gruppo chiamato Bashe ha rivendicato la compromissione di San Siro Stadium – M-I Stadio S.r.l.; 8BASE Team di Trafilerie Alluminio Alexia S.p.A.; RansomHub Team di Giorgio Visconti S.p.A.; Black Basta Team di NIER Ingegneria S.p.A. e Snatt Logistica S.p.A.; e, infine, l’inedito Funksec Team di Zero 5 S.r.l. ed Edizioni Dottrinari. Sempre in Italia, non sono mancate segnalazioni circa alcune delle attività di phishing rilevate nel territorio. Nel dettaglio, sono state tracciate nuove ondate della campagna di phishing via PEC che sfrutta nome e logo di Intesa Sanpaolo e un’ulteriore operazione che sfrutta il nome e il logo dell’Arma dei Carabinieri, oltre a due campagne malware. La prima volta alla distribuzione di SnakeKeylogger e la seconda di Agent Tesla. A livello internazionale, invece, un avversario rintracciato come Brain Cipher Team ha reclamato la sua responsabilità dietro la violazione di Deloitte UK, dichiarando di essere in possesso di oltre 1 TB di dati della società; mentre un avversario noto come natohub ha pubblicato un annuncio circa la divulgazione di un presunto data leak riconducibile allo United States Marine Corps (USMC), ovvero il Corpo dei Marine degli Stati Uniti. Il set di dati trapelato include informazioni sugli utenti, quali username, nomi completi, indirizzi e-mail, affiliazioni alle Forze Armate e altro ancora.
Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.
Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.
Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.
Scopri di più sulla nostra soluzione di Cyber Threat Intelligence