WEEKLY THREATS

Hacktivismo e cybercrime in Italia, attività inedite in Ucraina, tracciate offensive APT

17 Dicembre 2024
Hacktivismo cybercrime Italia TS-Way cover

Italia: attacchi DDoS, di phishing e ransomware colpiscono il Paese

Dopo un lungo periodo in cui l’Italia era rimasta fuori dal suo targeting, il collettivo hacktivista filorusso NoName057(16) è tornato a colpire il Paese. Il gruppo ha rivendicato offensive DDoS contro: Siena Mobilità, Autorità di Sistema Portuale del Mar Ionio, CTM S.p.A., Trentino Trasporti, Porto di Trieste, Sinfomar, Vulcanair S.p.A., Guardia di Finanza, GTT (Gruppo Torinese Trasporti S.p.A.), OpenPNRR, Acqualatina S.p.A, ACaMIR (Campania), UNI (Ente Italiano di Normazione), Banca Popolare di Sondrio, Consiglio Superiore della Magistratura, Ministero del Lavoro e delle Politiche Sociali, Ministero delle Imprese e del Made in Italy, Mediobanca, Ministero delle infrastrutture e dei trasporti, Aeronautica Militare e Marina Militare. Parallelamente, il gruppo People Cyber Army ha mostrato supporto nei confronti dell’offensiva lanciata da NoName057(16) contro l’Italia, rivendicando attacchi DDoS ai danni dei portali dell’Anasf (Associazione nazionale consulenti finanziari) e di SACE (Servizi assicurativi e finanziari per le imprese). Passando al panorama cybercrime sono state tracciate nuove attività di phishing e ransomware. In particolare, per quanto riguarda le prime, sono state individuate: un’operazione ai danni di ho. Mobile; una campagna di smishing che sfrutta il logo e il nome dell’Istituto Nazionale Previdenza Sociale (INPS) per esfiltrare dati personali e finanziari; una a tema Aruba volta a esfiltrare i dati della carta di pagamento della vittima; e un’ultima riguardante false indagini giudiziarie inerenti presunti reati di pedopornografia. Infine, l’operatore ransomware Everest Team ha rivendicato sul proprio sito dei leak la compromissione di CO-VER Power Technology S.p.A., mentre Akira Team quella di Renée Blanche S.r.l.

Ucraina: nuove offensive russe colpiscono il Paese

Sono state osservate due operazioni del russo Turla Group, entrambe rivolte contro dispositivi militari ucraini, che hanno previsto lo sfruttamento di tool e infrastrutture di altri avversari. Nello specifico, la prima ha avuto luogo tra marzo e aprile 2024 e ha fatto affidamento sul malware Amadey, la cui attività è identificata sotto il cluster Storm-1919, per veicolare le backdoor custom Tavdig e KazuarV2. Mentre, la seconda risale al gennaio 2024 ed è basata sull’utilizzo di una backdoor PowerShell di un altro gruppo russo tracciato come Storm-1837, sovrapponibile a FlyingYeti e UAC-0149. Al momento, non è ancora noto come Turla Group abbia ottenuto il controllo della backdoor di Storm-1837 o di Amadey per scaricare i propri tool sui device target. Contestualmente, è stata rilevata una campagna di spionaggio in corso almeno dall’inizio del 2024, attribuita al russo Gamaredon Group e rivolta contro individui e organizzazioni di lingua ucraina. Tale operazione ha previsto la distribuzione tramite allegati HTML malevoli di malware custom, quali un dropper chiamato GammaDrop e la backdoor GammaLoad, oltre allo sfruttamento del servizio Cloudflare Tunnel per nascondere l’infrastruttura di staging del primo. Infine, in data 4 dicembre 2024, il Computer Emergency Response Team di Kiev ha ricevuto segnalazioni dagli specialisti del MIL.CERT-UA circa attacchi di spear phishing contro le Forze di Difesa ucraine e le imprese del settore della Difesa del Paese, attribuiti a un cluster presumibilmente russo tracciato come UAC-0185.

APT: attacchi dalla Cina e da un misterioso gruppo sotto i radar da tempo

Tra la fine di giugno e la metà di luglio 2024, un presunto APT cinese ha preso di mira grandi provider di servizi IT business-to-business nell’Europa meridionale. L’operazione soprannominata Operation Digital Eye – probabilmente volta allo spionaggio – ha previsto lo sfruttamento di Visual Studio Code e dell’infrastruttura Microsoft Azure per scopi C2.  Nel dettaglio, le intrusioni potrebbero aver permesso all’avversario di stabilire punti di appoggio strategici e compromettere entità a valle. Tuttavia, alcune società di sicurezza informatica hanno individuato e interrotto le attività nelle loro fasi iniziali, prima che il gruppo potesse procedere con ulteriori azioni malevole, come l’esfiltrazione dei dati. L’attaccante ha adoperato una capacità di movimento laterale indicativa della presenza di un fornitore condiviso o di una sorta di “quartiermastro” digitale che mantiene e fornisce gli strumenti all’interno dell’ecosistema APT cinese. Nel frattempo, dopo circa dieci anni, ricercatori di sicurezza hanno rilevato nuovi attacchi dell’APT Careto. In particolare, una di queste offensive ha preso di mira un’organizzazione in America Latina. Pur non disponendo di indizi che permettano di stabilire come tale ente sia stato compromesso, gli analisti hanno determinato che nel corso dell’operazione l’avversario ha ottenuto l’accesso al server di posta elettronica MDaemon della vittima. Quest’ultimo è stato poi utilizzato per mantenere la persistenza con l’aiuto di un metodo unico che coinvolge un componente webmail MDaemon chiamato WorldClient.


Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.