La settimana appena trascorsa si chiude con importanti novità riguardanti Lazarus. Operation AppleJeus”, questo il nome con cui gli analisti hanno battezzato la campagna del gruppo nordcoreano che da mesi ha colpito numerosi istituti bancari, compromesso exchange di criptovaluta e violato i sistemi di compagnie di FinTech in tutto il mondo. Il nome deriva dal fatto che il payload finale è una nuova versione della già nota backdoor Fallchill, implementata anche per sistemi macOS e il codename usato dallo sviluppatore della minaccia è “jeus”.  Il vettore di infezione è stata un’applicazione trojanizzata per il trading di criptovalute.

Di recente pubblicazione anche dettagli relativi alla backdoor che il gruppo Turla ha sfruttato per compromettere i sistemi di diverse entità politiche e militari in tutto il mondo, fra cui il Federal Foreign Office tedesco. La versione più recente della minaccia, dell’aprile 2018, è in grado di eseguire PowerShell malevoli direttamente nella memoria del computer target e, oltre al client email The Bat! molto diffuso in Europa orientale, colpisce anche Microsoft Outlook.

Particolare risalto mediatico ha ottenuto la rivelazione da parte di Microsoft di alcuni dettagli in merito a un’operazione condotta con successo contro il noto APT russo Sofacy. Con esecuzione di un’ordinanza di una Corte federale, la Digital Crimes Unit (DCU) ha infatti disattivato 6 domini internet – che imitavano quelli legittimi di organizzazioni come l’International Republican Institute, lo Hudson Institute che si occupa di cybersecurity applicata alle elezioni e delle infrastrutture IT del Senato americano  creati dalla compagine associata al Governo di Mosca. Verosimilmente sono stati realizzati per futuri attacchi di spear-phishing.

Operation Red Signature è invece il nome attribuito a una campagna altamente mirata condotta da attori cinesi nella seconda metà di luglio contro alcune organizzazioni della Corea del Sud. Gli attaccanti hanno compromesso il server di un provider di soluzioni per il supporto remoto riservato all’aggiornamento software. Il malware è stato dotato di un certificato rubato ed è stato rilasciato al posto degli update legittimi solo a client i cui IP appartenevano alle organizzazioni target.

Dark Tequila, questo il nome di una complessa operazione attiva dal 2013 che al momento sta colpendo target in Messico, ma che è stata progettata per operare in ogni parte del mondo e contro qualsiasi tipo di vittima. L’obiettivo sarebbe quello di raccogliere informazioni finanziarie e credenziali di login a popolari siti web. Il malware multistage impiegato è in grado di eludere sistemi di detection e di analisi. I principali vettori di infezione sono tecniche di spear-phishing e device USB.

Di alcuni giorni fa, inoltre, la rilevazione di un nuovo trojan modulare che gli analisti hanno battezzato BISKVIT, utilizzando una pronuncia russa per distinguerlo da una precedente minaccia con medesimo nome. La scoperta ha riguardato in prima istanza un documento di exploiting della vulnerabilità CVE-2017-0199 con filename “Exhibition”. Il riferimento è all’Army 2018 International Military and Technical Forum che si tiene in Russia ogni anno.

Infine di questa settimana anche la notizia di una vulnerabilità critica di tipo RCE che affligge il framework open source Apache Struts 2. Rubricata come CVE-2018-11776, è dovuta a una validazione non sufficiente degli input degli utenti da parte del core del framework, quando questo sia stato configurato in modi particolari.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi