0-day Cleo sfruttate in attacchi ransomware, l’Ucraina nel mirino di nuove offensive, scoperti spyware inediti
23 Dicembre 2024
Cleo: aggiunte al catalogo della CISA due falle sfruttate ITW
Dopo aver riscontrato evidenze di uno sfruttamento attivo, la CISA ha aggiunto al suo catalogo delle vulnerabilità sfruttate ITW CVE-2024-50623 (CVSS 8.8) e CVE-2024-55956 (CVSS 9.8) presenti nei prodotti Harmony, VLTrader e LexiCom della suite Cleo, tre soluzioni software utilizzate principalmente per la gestione dei trasferimenti di file. Aggiunta al catalogo in data 13 dicembre 2024, la prima falla – originariamente corretta a ottobre – è una Unrestricted Upload of File with Dangerous Type che potrebbe portare all’esecuzione di codice remoto non autenticato con privilegi elevati. Il 9 dicembre alcuni ricercatori hanno rilasciato una Proof-of-Concept (PoC) per CVE-2024-50623 da loro creata, dopo aver scoperto che la patch rilasciata dal vendor (5.8.0.21) non mitigava la vulnerabilità. Sono stati osservati tentativi di exploitation della CVE già dal 3 dicembre. Sfruttando questa falla, gli avversari hanno caricato una backdoor JAVA che gli consentiva di rubare dati, eseguire comandi e ottenere ulteriore accesso alla rete compromessa. Quanto alla seconda vulnerabilità, aggiunta al catalogo il 17 dicembre, si tratta di una Incorrect Default Permissions – classificata dall’Agenzia come Unauthenticated File Upload – che potrebbe consentire a un utente non autenticato di importare ed eseguire comandi bash o PowerShell arbitrari sul sistema host sfruttando le impostazioni predefinite della directory Autorun. Sulla base delle prove forensi preliminari, anche le attività di exploitation basate su CVE-2024-55956 sono cominciate all’inizio di dicembre 2024. Stando a quanto riportato dalla CISA, entrambi i problemi di sicurezza risultano essere sfruttati in attacchi ransomware. Sebbene l’Agenzia non abbia fornito ulteriori informazioni a riguardo, il gruppo cybercriminale TA505 (CL0P Team) sembrerebbe aver rivendicato sul proprio sito dei leak la sua responsabilità dietro le offensive. La banda ha annunciato nel proprio blog che tutti i link ai dati delle aziende riportate saranno disabilitati e le informazioni saranno definitivamente cancellate dai server e che, d’ora in poi, lavorerà solo con le nuove organizzazioni violate nei recenti attacchi basati sulle 0-day di Cleo. Al momento non è chiaro quante aziende siano state colpite. Le Agenzie dello US Federal Civilian Executive Branch (FCEB) sono state incaricate di correggere CVE-2024-50623 entro il 3 gennaio 2025, mentre CVE-2024-55956 entro il 7.
Ucraina: le ultime dal conflitto russo-ucraino
Nel periodo tra novembre e dicembre 2024, il CERT-UA ha indagato su una serie di attacchi volti allo spionaggio condotti dal cluster UAC-0099 contro diverse organizzazioni statali, tra cui realtà nelle scienze forestali, istituzioni forensi, fabbriche e altre ancora. Stando a quanto osservato, le e-mail presentavano in allegato un archivio contenente un exploit per la vulnerabilità CVE-2023-38831 di WinRAR. In caso di compromissione riuscita, sul computer target viene lanciato il malware LONEPAGE, che implementa una funzionalità di esecuzione dei comandi. Ricercatori di sicurezza hanno rilasciato ulteriori dettagli riguardo la campagna basata su file RDP del gruppo russo APT 29, che ha sfruttato tool di red teaming e sofisticate tecniche di anonimizzazione per colpire settori di alto profilo. La tecnica, denominata rogue RDP, coinvolge un relay RDP, un server RDP malevolo e un file di configurazione RDP dannoso. Questa consente un controllo parziale del dispositivo all’attaccante, portando potenzialmente alla perdita di dati e all’installazione di malware. Infine, il 17 dicembre 2024, sempre il Computer Emergency Response Team di Kiev ha ricevuto segnalazioni dagli specialisti del MIL.CERT-UA sul rilevamento di una serie di risorse web che imitano la pagina ufficiale dell’applicazione Армія+ – creata dal Ministero della Difesa insieme allo Stato Maggiore delle Forze Armate dell’Ucraina – e che sono state pubblicate utilizzando il servizio Cloudflare Workers. Tale attività è tracciata sotto il cluster UAC-0125 e, con un sufficiente livello di confidenza, è associata al russo Sandworm (UAC-0002). Una volta visitati i siti sopracitati, all’utente viene proposto di effettuare il download di un eseguibile nominato ArmyPlusInstaller-v.0.10.23722.exe, ovvero un installer creato con NSIS che contiene un file .NET esca chiamato ArmyPlus.exe, oltre a file dell’interprete Python, un archivio con all’interno file Tor e uno script PowerShell soprannominato init.ps1. Quando si apre l’EXE iniziale vengono lanciati il file esca e lo script PowerShell. Quest’ultimo compie diverse azioni che permettono un accesso remoto nascosto alla macchina mirata. Il CERT-UA ha inoltre sottolineato che, in caso di intromissione riuscita e interesse per l’obiettivo, l’APT di Mosca sferra un ulteriore attacco informatico al sistema dell’organizzazione target.
Spyware: portati alla luce nuovi tool usati da Gamaredon Group e dalle Forze dell’Ordine cinesi
Ricercatori di sicurezza hanno scoperto due spyware per Android denominati BoneSpy e PlainGnome, attribuiti al russo Gamaredon Group collegato all’FSB. BoneSpy è in uso almeno dal 2021, si basa sul software open-source russo DroidWatcher e viene distribuito come applicazione singola e autonoma. PlainGnome, invece, è apparso per la prima volta nel 2024 e funge da dropper per un payload di sorveglianza, memorizzato all’interno del pacchetto dropper stesso. L’esatto metodo di distribuzione dei file APK dei malware non è ancora chiaro, ma si sospetta che si utilizzino attacchi mirati di social engineering. I due spyware sembrano mirare a vittime di lingua russa in tutta l’ex Unione Sovietica, in Paesi come Uzbekistan, Kazakistan, Tagikistan e Kirghizistan. L’aver preso di mira Stati dell’Asia centrale è probabilmente il risultato del peggioramento delle relazioni tra questi Paesi e la Russia dopo l’inizio dell’invasione dell’Ucraina nel 2022. Sebbene Gamaredon Group sia noto da tempo per colpire l’Ucraina, al momento non sono state riscontrate prove specifiche che dimostrino che BoneSpy o PlainGnome siano stati utilizzati contro vittime ucraine. Spostandoci in Cina, è stato individuato un nuovo strumento di sorveglianza per intercettazioni legittime, denominato EagleMsgSpy, sviluppato con un elevato livello di confidenza dalla società cinese Wuhan Chinasoft Token Information Technology Co., Ltd. e utilizzato dalle Forze dell’Ordine in Cina. Operativo almeno dal 2017, con uno sviluppo che prosegue fino alla fine del 2024, il tool è composto da due parti: un installer APK e un client di sorveglianza headless che viene eseguito in background sul dispositivo una volta installato. La minaccia, che sembra richiedere l’accesso fisico al device per avviare le operazioni di sorveglianza, raccoglie numerosi dati dall’utente. Sembrano esistere sia versioni Android che iOS di EagleMsgSpy; tuttavia, fino ad oggi sono state rilevate solo diverse varianti Android.
Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.
Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.
Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.
Scopri di più sulla nostra soluzione di Cyber Threat Intelligence