Operazioni DDoS e phishing in Italia, rilevate nuove offensive APT e Cybercrime, chiuso AVCheck e sfruttati dispositivi IoT 

Italia: attacchi DDoS e di phishing colpiscono la penisola 

Nella scorsa settimana il collettivo filorusso NoName057(16) ha rivolto nuovamente la propria attenzione all’Italia prendendo di mira diversi portali appartenenti ai comuni di Milano, Potenza, Allein, Antey-Saint-André, Aymavilles, Arnad, Avise, Ayas, Bard, Reggio Emilia, Novara, Parma, Reggio Emilia, Rimini, Etroubles, Brusson, Challand-Saint-Anselme, Challand-Saint-Victor, Chamois, Champorcher, Fontainemore, Gaby. In aggiunta il gruppo si è rivolto contro il Consiglio Regionale della Valle d’Aosta, Digi Italy, Tiscali, Tessellis, Herabit, Gruppo Maggioli, Adriafer, Unipol, Ministero delle Infrastrutture e dei Trasporti, Ministero delle Imprese e del Made in Italy, Carabinieri, Acqua Novara VCO, Vulcanair. In supporto a NoName057(16) è intervenuto anche Dark Storm Team che a sua volta ha rivendicato offensive DDoS contro i comuni di Venezia, Torino, Genova, oltre che al Ministero delle Imprese e del Made in Italy, Ministero dell’Istruzione e del Merito, Ministero degli Affari Esteri e della Cooperazione Internazionale e Ministero della Difesa. Oltre a ciò, è stata tracciata una nuova campagna di phishing mirata all’Università degli Studi di Padova, nella quale sono state sottratte credenziali di studenti e dipendenti dell’ateneo, utilizzando domini malevoli. Quest’ultimi ospitavano pagine di login fraudolente volte a riprodurre l’aspetto del portale ufficiale dell’ateneo, allo scopo di indurre gli utenti a inserire i propri codici di accesso per aggiornare il proprio account istituzionale. Sono state inoltre rilevate una campagna di distribuzione malware via MintsLoader che sfrutta caselle PEC compromesse, e un’attività di phishing in corso che prende di mira account Libero Mail.

APT e Cybercrime: colpita PTCL e usata Salesforce per prendere di mira diverse aziende

Durante l’escalation militare attiva tra Pakistan e India, in particolare nel contesto della campagna indiana Operation Sindoor, ricercatori di sicurezza hanno osservato l’APT indiano Bitter prendere di mira dipendenti della Pakistan Telecommunication Company Limited (PTCL) in un‘operazione di spear phishing che ha previsto la distribuzione di una variante di WmRAT. Si ritiene che Bitter abbia molto probabilmente utilizzato credenziali di posta elettronica rubate dal Counter Terrorism Department (CTD) del Pakistan per effettuare l’attacco e inviare i messaggi fraudolenti. In particolare, l’attività di spear phishing ha preso di mira il personale PTCL che ricopre ruoli critici, tra cui ingegneri di infrastrutture 5G, specialisti DevOps, project manager ed esperti di comunicazione satellitare. Gli analisti presumono che l’avversario stia probabilmente cercando di preposizionarsi per futuri conflitti. È stato inoltre tracciato un gruppo finanziariamente motivato e denominato UNC6040, che fingendosi addetti al supporto IT, ha violato le istanze Salesforce di circa 20 organizzazioni ingannandone i dipendenti e inducendoli a installare e configurare una versione modificata dell’app Data Loader. L’attaccante ha fatto affidamento sulla manipolazione degli utenti finali senza sfruttare alcuna vulnerabilità intrinseca a Salesforce, difatti, il furto dei dati è avvenuto attraverso l’utilizzo delle credenziali ottenute mediante credential harvesting o vishing.

NHTCU e FBI: smantellato AVCheck e rilasciato advisory su BADBOX 2.0 

 Il Team High Tech Crime della National Investigation and Interventions Unit (NHTCU) dei Paesi Bassi, sotto l’autorità del National Public Prosecutors’ Office (Landelijk Parket), ha intrapreso un’operazione coordinata con Stati Uniti e Finlandia, che ha portato allo smantellamento di uno dei più grandi servizi Counter Antivirus (CAV) utilizzato a livello internazionale, chiamato AVCheck. Quest’ultimo veniva impiegato in via preventiva alla diffusione in rete di un malware e serviva per verificare che il codice malevolo non venisse rilevato dai vari software antivirus commerciali, valutandone la furtività e la capacità evasiva. Durante le indagini sono state rilevate prove che collegano gli amministratori di AVCheck ad alcuni servizi di crittografia usati da criminali informatici per cifrare od offuscare i loro payload e renderli non rilevabili. D’altro canto, il Federal Bureau of Investigation (FBI) ha pubblicato un advisory per mettere in guardia da criminali informatici che sfruttano i dispositivi Internet of Things (IoT) connessi alle reti domestiche per condurre attività malevole utilizzando la botnet BADBOX 2.0. Gli avversari ottengono l’accesso attraverso device compromessi, come quelli di streaming TV, proiettori digitali, sistemi di infotainment aftermarket per veicoli, cornici digitali e altri prodotti; la maggior parte dei quali risultano essere stati fabbricati in Cina. Nel dettaglio, gli attaccanti configurano il prodotto con codice malevolo prima dell’acquisto da parte degli utenti o infettando il dispositivo durante il processo di configurazione, mentre scarica applicazioni necessarie contenenti backdoor. Una volta che i device IoT compromessi sono connessi alle reti domestiche, si connettono ai server C2 dell’avversario in attesa dei comandi da eseguire, come: instradare il traffico di altri criminali informatici attraverso gli indirizzi IP domestici delle vittime; scaricare e cliccare annunci in background generando entrate pubblicitarie per l’attaccante; o sfruttare gli IP delle vittime per accedere ad account altrui utilizzando credenziali rubate.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. 

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence