WEEKLY THREATS

Weekly Threats: N. 39 2018

07 Dicembre 2018

Questa settimana è stata tracciata una campagna di malspam basata sulle minacce Pony (alias Hancitor) e HawkEye e indirizzata a target italiani. Le email di spam contenevano allegati malevoli e presentavano due diversi oggetti che facevano riferimento a informazioni in merito a quotazioni finanziarie.

Il collettivo hacktivista Anonymous Italia è tornato a colpire nell’ambito della cosiddetta OpGreenRight prendendo di mira il “Patto dei Sindaci per il Clima e l’Energia” (che riunisce personalità di 57 Paesi per oltre 7.000 governi locali) e pubblicando informazioni di Sindaci, Assessori, Consiglieri e altri esponenti di spicco a livello internazionale.

Nuove azioni anche per Magecart: compromesso il sito di e-commerce Sotheby’s Home e infettati i sistemi della firma olandese di abbigliamento Opposuits. Novità anche riguardo alla violazione delle scorse settimane, sempre riconducibile al panorama Magecart, al rivenditore di prodotti ottici online Vision Direct: attraverso lo script malevolo sfruttato, gli attaccanti sarebbero stati in grado di sottrarre non solo informazioni sensibili degli utenti, ma anche dati che avrebbero consentito di svolgere operazioni con privilegi di amministrazioni nel sito target.

È stata rilevata un’enorme campagna di disinformazione condotta dall’Iran per influenzare l’opinione pubblica: i target sono stati 20 Paesi di interesse economico o geopolitico per il Governo di Teheran, raggiunti da notizie adulterate o completamente inventate in una molteplicità di lingue. L’infrastruttura messa in piedi sembra essere in uso dal 2012 e conta oltre 200 IP e domini da cui era possibile anche scaricare applicazioni malevole per dispositivi mobili.

Duro colpo anche per la rete sociale di informazione Quora che ha subito un consistente data breach, il quale ha esposto i dati di 100 milioni di utenti tra cui: nome, email, password cifrata, dati importati da network connessi su autorizzazione dell’utente; domande e risposte, commenti e messaggi diretti degli utenti del sito.

Tra le campagne APT della scorsa settimana, risulta di particolare interesse quella battezzata Operation Poison Needles: si tratta di un attacco contro contro il “Policlinico No.2” del Federal Security Service (FSB) russo il cui vettore è stato un PDF malevolo che si spacciava per un questionario ma che di fatto conteneva l’exploit di uno 0-day di Flash Player – uno use after free che consente esecuzione di codice arbitrario, segnalato con CVE-2018-15982.

Un’altra campagna denominata STOLEN PENCIL e condotta verosimilmente da attori nordcoreani con obiettivo numerosi istituti accademici internazionali ha diffuso email di spear-phishing allo scopo di sottrarre credenziali e informazioni sensibili. Dopo essere state indotte a installare estensioni malevole per Google Chrome, le vittime sono state infettate con i tool MECHANICAL e GREASE.

Infine si segnala la notizia, riportata da fonti giornalistiche, relativa alla compromissione degli account di 4 leader della National Republican Congressional Committee (NRCC) statunitense che sarebbero stati sorvegliati per mesi durante il periodo delle elezioni di midterm.

[post_tags]