Weekly Threats: N. 37 2018

Anche questa settimana l’Italia torna a essere vittima di una serie di campagne di malspam. In particolare nel primo caso lo scopo è stato distribuire il malware DanaBot, che consente di condurre attacchi di tipo man-in-the-browser, oltre che sottrarre credenziali di sistema e ottenere l’accesso remoto. Nel secondo un’ondata di email di phishing che ha colpito, fra gli altri target, anche organizzazioni della Pubblica Amministrazione ha distribuito il trojan Ursnif. Infine un’ennesima campagna di malspam ha distribuito l’ormai celeberrimo trojan bancario GootKit.

Sempre in Italia Anonymous è tornato a colpire nell’ambito della campagna #OpGreenRights. Questa volta obiettivi del collettivo hacktivista, tra gli altri, sono stati i portali delle seguenti organizzazioni: Confindustria Energia – Federazione delle Associazioni del comparto Energia di Confindustria – Fabbrica Bresciana di armi, e Arcelormittal (nuova proprietà ILVA). La rivendicazione è comparsa sul blog ufficiale, in un post titolato “Politica Avida”, sul profilo Twitter @LulzSec_ITA e sul portale di CyberGuerrilla.

Anche questa settimana continua ad allungarsi la lista delle vittime di Magecart. Vision Direct, rivenditore online di prodotti ottici come occhiali e lenti a contatto con sede in Gran Bretagna, ha infatti subito un data breach. Sempre riconducibili al panorama del threat actor Magecart, anche i due script che hanno infettato il sito web brasiliano di Umbro, il popolare marchio britannico di abbigliamento sportivo.

Rispetto alle attività legate a malware: DarkGate è il nome di una nuova campagna molto sofisticata, basata sull’omonimo malware, che sta operando in Europa, soprattutto in Francia e Spagna. La minaccia colpisce endpoint Windows e sembra una derivazione dello spyware Golroted. Sebbene il nuovo binario non sia del tutto sovrapponibile al precedente, entrambe le minacce sfruttano due diversi metodi di infezione basati su file VBS distribuiti via Torrent che si spacciano per popolari film e serie TV.

Inoltre il malware Olympic Destroyer torna con alcune innovazioni, è stata infatti rilevata un’evoluzione nella tecnica di offuscamento delle macro impiegate. Inoltre, un dropper reso pubblico il 12 ottobre dispone di feature anti-analisi e di esecuzione ritardata. La procedura di infezione risulta più complessa che in passato.

Tra le campagne di gruppi APT se ne evidenziano alcune in particolare. Ricercatori di sicurezza hanno recentemente reso noto infatti che il gruppo APT29 (alias Cozy Bear, legato al governo di Mosca) si sta spacciando per il Dipartimento di Stato USA in una campagna che mira ad infettare agenzie governative, think tank e aziende di vario genere. Per compromettere i propri target, gli attaccanti hanno inviato messaggi di posta elettronica che fingevano di provenire da una Specialista degli Affari Pubblici del Dipartimento di Stato, e che inducevano la vittima a scaricare un documento malevolo. Secondo quanto dichiarato dalla firma che ha scoperto la campagna, i target sarebbero oltre venti e apparterrebbero tutti ad agenzie militari, forze armate, contractor della Difesa, compagnie del settore media e farmaceutico; non si sa però quanti di questi siano stati realmente violati.

Il sottogruppo Bluenoroff della compagine APT nordocreana Lazarus, invece, ha recentemente avviato una campagna contro istituti finanziari in America Latina. È stata impiantata nei sistemi target una backdoor modulare che ha consentito di condurre attacchi piuttosto sofisticati. Tra le tante operazioni svolte: raccolta di informazioni da file, cartelle e drive; avvio, interruzione ed enumerazione dei processi; cancellazione dei file; utilizzo del proxy; connessione in passive mode col server del C&C.

Infine nuovi dettagli emergono sul gruppo sovietico Sofacy (alias APT28). È stata tracciata una campagna basata sui trojan Zebrocy e Cannon. Il gruppo tra la fine di ottobre e gli inizi di novembre 2018 ha infatti colpito diverse entità governative in tutto il mondo e segnatamente in America del Nord, Europa e nell’area dell’ex Unione Sovietica. Nello specifico, sono stati distribuiti con tecniche di spear phishing numerosi documenti malevoli finalizzati alla distribuzione dei trojan sopra indicati. Grazie al tool Zebrocy, composto da diversi moduli, il gruppo avrebbe inoltre colpito in altre aree del globo: Asia Centrale e Europa Centrale ed Orientale, sempre nell’ambito di enti governativi come ambasciate, Ministeri degli Affari Esteri e diplomatici. Zebrocy è un toolset composto da downloader, dropper e backdoor: i primi due elementi si occupano della ricognizione mentre le backdoor servono per ottenere persistenza e per le attività di spionaggio.

[post_tags]