Weekly Threats: N. 38 2018

30 Novembre 2018

Anche questa settimana l’Italia è stata vittima di parecchie campagne. In particolare, il collettivo LulzSecITA ha rivendicato un nuovo defacement di una pagina del sito di Fratelli d’Italia Roma, www.fratelliditaliaroma[.]it. Uno dei due tweet pubblicati riporta toni ironici e particolarmente forti all’indirizzo di Giorgia Meloni.

Due distinte campagne di malspam, basate rispettivamente su sLoad e Danabot hanno colpito target localizzati nel Paese. Nel primo caso gli analisti, che stanno monitorando la campagna, hanno illustrato la successione di 5 script PowerShell deputati alla fase di download a cui segue la distribuzione del trojan bancario Ursnif. Nel secondo il vettore è rappresentato da e-mail che rimandano all’ambito finanziario con oggetto presunte fatture e che contengono un allegato con un archivio .rar malevolo.

Una campagna di spionaggio industriale, avviata almeno nel 2014 e che risulta ancora in corso, ha colpito in USA, Messico, Europa (anche in Italia), Turchia, Africa, Cina, India e Sudest asiatico. Gli attaccanti, che denotano padronanza di tecniche e strategie particolarmente raffinate, sfruttano file della popolare applicazione per la progettazione AutoCAD come vettore di infezione. Grazie a email di spear-phishing vengono distribuiti documenti relativi a grandi progetti di hotel e infrastrutture, fra i quali compare anche quello del ponte che collega Hong Kong-Zhuhai-Macau. I file .cad sono inseriti in archivi ZIP o RAR che contengono anche moduli .fas (Fast-Load AutoLISP) malevoli, analoghi per funzione alle macro di Office.

Due data breach hanno riguardato rispettivamente: Adapt.io e l’aggregatore di dati “Data & Leads”. Nel primo caso un ricercatore di sicurezza ha rinvenuto in rete un database MongoDB non protetto appartenente al servizio di data aggregation Adapt[.]io in un cui erano contenuti 9.376.173 record di dati relativi a migliaia di società. Il database conteneva un ampio spettro di informazioni: nome e descrizione della compagnia, nome e cognome del proprietario, dimensioni ed entrate delle aziende, numeri di telefono, domini Internet e indirizzi email di tutti i contatti della compagnia. Nel secondo caso si è trattato del dump di informazioni personali relative a 44,3 milioni di individui, fra cui nomi, tipo di impiego, email, indirizzo, Stato, ZIP, numero di telefono e IP – appartenenti a cittadini degli USA.

Tra le campagne APT della scorsa settimana rileva una nuova ondata di attività dell’APT iraniano MuddyWater in Libano e Oman. Gli attaccanti – noti per aver condotto molteplici campagne di spionaggio targettizzando obiettivi governativi, accademici, finanziari e industriali specialmente in Medio Oriente – hanno diffuso documenti word che si fingono falsi curriculum vitae o comunicazioni del Ministero della Giustizia del Libano e dell’Arabia Saudita, i quali richiedono di abilitare il contenuto – e di conseguenza l’esecuzione delle macro malevole– con la scusa dell’incompatibilità tra le versioni di Microsoft. A differenza delle campagne precedenti dell’APT, questa volta MuddyWater ha implementato una strategia di attacco più attenta, composta da due distinti stage. Che portano in ultima analisi alla propagazione della backdoor POWERSTATS, uno dei tool maggiormente sfruttati da MuddyWater.

Un gruppo strutturato sembra celarsi anche dietro attività di spionaggio basate sul tool Pegasus che partire dalla metà di maggio 2017 hanno preso di mira due giornalisti del “Río Doce”, quotidiano di inchiesta contro i cartelli attivi in Messico fondato da Javier Valdez Cárdenas. Dopo l’uccisione di quest’ultimo l suo collaboratore più stretto, Andrés Villarreal, e poi anche il direttore Ismael Bojórquez hanno ricevuto messaggi malevoli attraverso i quali si cercava di infettare i dispositivi con Pegasus. Nei messaggi si faceva riferimento all’assassinio del loro collega e si invitava, per avere maggiori dettagli, a cliccare su un link che reindirizzava all’infrastruttura del Gruppo NSO. Gli attaccanti sono associabili a un gruppo sponsorizzato dal Governo messicano che appartiene ad una sorta di galassia di threat actor individuata con il nome complessivo di RECKLESS cui ogni volta si aggiunge un numero di individuazione.

Infine secondo quanto riportato oggi dal Wall Street Journal, il Governo statunitense starebbe cercando di convincere i propri alleati a mettere al bando i prodotti della compagnia cinese Huawei Technologies Co. Persone informate dei fatti avrebbero riferito di una campagna di persuasione articolata su due canali: informare i partner internazionali, fra i quali vi sono anche Italia, Germania e Giappone, sui rischi in campo cybersecurity e finanziare lo sviluppo di infrastrutture nel settore delle telecomunicazioni in paesi che eviteranno di adottare soluzioni prodotte in Cina. L’obiettivo più ampio di questa sorta di rinnovata “guerra fredda” con il Governo di Pechino sarebbe quello di allontanare la Huawei da tutte le aree di interesse e di influenza della politica americana.

[post_tags]

Anonymous Italia AutoCAD Danabot data breach Huawei LulzSec_ITA malspam MuddyWater Pegasus POWERSTATS RECKLESS sLoad Ursnif

Contenuti correlati

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Pegasus e lo spionaggio governativo in Togo, Giordania e Messico