Weekly Threats: N. 32 2018

Settimana intensa su più fronti, quella appena trascorsa, per l’Italia. Recenti indagini hanno consentito di rilevare una campagna di malspam che sta sfruttando l’exploit della la vulnerabilità di Office CVE-2017-11882 per distribuire malware. La particolarità in questo caso è determinata dal fatto che gli attaccanti hanno impiegato come host delle minacce un server localizzato in Italia.

Tracciata da poco anche una nuova campagna di distribuzione malware contro la Pubblica Amministrazione italiana. Le vittime che cadono nel tranello scaricano un archivio ZIP che contiene un LNK.

Infine è stata tracciata una campagna di phishing massiva che ha colpito, fra gli altri target, anche un importante ente pubblico italiano. Le vittime sono state informate da un sedicente “Supporto del servizio IT” in merito alla scadenza della propria casella di posta e sono state indotte attraverso un link per aggiornare l’account mail a inserire in un “Modulo di aggiornamento” fraudolento le proprie credenziali.

Numerose anche le campagne di attori strutturati. In particolare ricercatori di sicurezza hanno pubblicato un’analisi riguardante una minaccia identificata come Octopus che è stata utilizzata da un gruppo APT di cyber-spionaggio, a cui è stato attribuito il nome di DustSquad. Obiettivo della minaccia enti diplomatici in Asia Centrale, in particolare nelle ex Repubbliche Sovietiche e in Afghanistan. Gli attaccanti – approfittando del divieto di usare Telegram emanato dal governo kazako – diffondono il dropper come un software – “Telegram Messenger” –  di comunicazione alternativa per l’opposizione politica. È probabile che lo scopo principale sia quello di esfiltrare informazioni utili dalle macchine target. Da segnalare che alcune delle vittime di Octopus sono risultate infettate anche da malware associati ad altri gruppi APT tra cui IndigoZebra (Cina) e Sofacy.

Dopo le azioni condotte nel 2015 dall’APT Sandworm alias BlackEnergy, sono state tracciate operazioni firmate da un gruppo che sembra derivato da esso e che ha collaborato strettamente con i suoi già noti eredi Telebots; ad esso e al malware di cui si avvale gli analisti hanno attribuito il medesimo nome, GreyEnergy. Le infezioni dei sistemi sono avvenute tramite compromissione dei web server appartenenti alle organizzazioni target, oppure email di spear-phishing con allegati malevoli.

Operation Oceansalt è infine il nome di una campagna che ha preso di mira in particolare la Corea del Sud ma che ha mietuto alcune vittime anche in Canada e negli Stati Uniti. L’operazione, composta di più ondate molto mirate, è stata interamente condotta grazie a un implant di ricognizione identificato anch’esso come Oceansalt. Tale nome gli è stato assegnato a causa della sua somiglianza ad una minaccia rilevata nel 2010, Seasalt, e associata al gruppo APT di matrice cinese Comment Crew (o APT1). La provenienza coreana degli attori di Oceansalt sembra quasi certa tant’è che i documenti malevoli sono scritti in coreano corretto e affrontano temi relativi a finanze e progetti coreani, ma lo scopo principale della campagna non è chiaro. Potrebbe trattarsi di mero ritorno economico oppure di un’operazione di cyber-spionaggio di matrice governativa.

Settimana particolare anche per gli USA. Un data breach ha interessato oltre 30.000 dipendenti del Pentagono. Attaccanti non identificati sono infatti riusciti ad accedere ad informazioni personali e numeri di carte di credito sfruttando un sistema di gestione di dati di viaggio gestito da un contractor esterno della Difesa. Un annuncio rinvenuto su un forum avrebbe invece permesso di constatare – a seguito di un ulteriore data breach – la vendita di dati di milioni di cittadini statunitensi, provenienti da liste di elettori aggiornate e relative a tutto il territorio nazionale. Infine è stato reso noto che “DonalDaters”, una vecchia applicazione usata per la comunicazione fra i supporter del presidente Donald Trump, ha esposto i dati degli utenti.

Una grave vulnerabilità ha invece afflitto la libreria multipiattaforma libssh. La falla, introdotta nel prodotto quattro anni fa con il rilascio della versione 0.6, riguarda l’implementazione del server Secure Shell ed è stata identificata con CVE-2018-10933.

[post_tags]