Weekly Threats: N. 41 2018

La settimana appena trascorsa registra ulteriori minacce sul fronte italiano. Nello specifico a partire dal mese di novembre 2018 è stata tracciata una campagna di distribuzione del trojan bancario GootKit che ha colpito target istituzionali. Email di spear phishing sono state inviate da indirizzi PEC (posta elettronica certificata) reali e presumibilmente compromessi. Gli allegati erano archivi ZIP i cui filename fanno riferimento perlopiù a fatture elettroniche. Utenti italiani risultano invece vittime di un “click fraud” su Google Play, dove criminali hanno sfruttato 15 applicazioni per wallpaper per la raccolta massiva di click a scopo di lucro. Infine sono stati pubblicati nuovi dettagli su una recente campagna di distribuzione di Danabot che ha colpito, fra gli altri, istituti finanziari in Italia. Fra i target si annoverano Bancoposte, Intesa San Paolo, Banca Generali, BNL, Hello Bank, UBI Banca; ma anche provider di posta come Tim, Yahoo, Hotmail, GMail; e infine anche Tecnocasa.

 Anche l’Unione Europea entra questa settimana nell’occhio del ciclone, a seguito di un fatto reso noto dal New York Times. Una firma di sicurezza californiana ha infatti rilevato che il COREU, il network per le comunicazioni diplomatiche dell’Unione Europea, è stato compromesso per almeno 3 anni con conseguente sottrazione di migliaia di cablogrammi con informazioni riservate. I temi affrontati sono i più disparati anche relativi a eventi particolarmente delicati. L’accesso sarebbe avvenuto grazie a un semplice attacco di phishing lanciato contro i sistemi di Cipro che avrebbe consentito agli attaccanti di procurarsi le password del COREU. La campagna sembra comunque avere contorni decisamente più ampli: sarebbero stati violati anche i network delle Nazioni Unite, dell’American Federation of Labor and Congress of Industrial Organizations (A.F.L.-C.I.O.) e di numerosi Ministeri degli Affari Esteri in tutto il mondo.

 Nuovo clamore su due tra i più noti social al mondo Facebook e Twitter. Nel primo caso le fotografie private di 6,8 milioni di utenti sono state potenzialmente esposte fra il 13 e il 25 settembre scorsi a causa di un bug nelle API. Nel secondo è stato scoperto un bug che consentirebbe a un utente non autorizzato di accedere ai messaggi diretti degli utenti del social. Il bug è stato risolto, il security team di Twitter ha però rilevato che dietro il data breach di piccole dimensioni avvenuto potrebbe celarsi un attacco di tipo state-sponsored, sono state infatti rilevate un grosso numero di richieste provenienti da indirizzi IP individuali localizzati in Cina e in Arabia Saudita.

Non sembra avere fine lo sfruttamento di 0-day su Microsoft. Dopo il rilascio di un security update di emergenza per correggere una vulnerabilità critica 0-day sul popolare browser Internet Explorer, che attaccanti stanno già sfruttando in-the-wild, è stata rilevata una vulnerabilità 0-day che affligge il sistema operativo Windows. Il problema dipende da “MsiAdvertiseProduct“: chiamando questa funzione, infatti, si crea una copia di file arbitraria dal servizio di installazione che è controllabile dall’attaccante.

Relativamente alle minacce APT: un documento di spear phishing realizzato dalla compagine state-sponsored russa Sofacy è stato ricevuto da almeno un target localizzato in Macedonia. Si tratta di un file il cui nome è “UDS 2019 Current Agenda.doc” che ha lo scopo di distribuire Seduploader. Il testo del documento di decoy è relativo all’agenda dell’evento “Underwater Defense & Security 2019” una tre giorni di incontri e conferenze che si terrà a Southampton (UK) il prossimo marzo e che raccoglierà membri e alleati NATO, Italia inclusa.

L’organizzazione non governativa impegnata nella difesa dei diritti umani Amnesty International ha invece pubblicato un’analisi in cui espone i dettagli di due vaste campagne di phishing, condotte dagli stessi attori che hanno colpito migliaia di individui nell’area mediorientale e in quella nordafricana. Dietro queste vaste operazioni sembrano nascondersi attori provenienti dai paesi limitrofi al Golfo Persico (Arabia Saudita, Bahrein, Emirati Arabi Uniti, Kuwait, Oman e Qatar) ma anche Yemen, Egitto e Palestina e i loro target principali sono identificabili in giornalisti, politici e attivisti per i diritti umani delle due regioni sopra indicate.

Proseguirebbero poi le operazioni di spionaggio cinese. Il Wall Street Journal ha rivelato che il Governo cinese sta conducendo una vasta campagna cyber ai danni di contractor della Marina statunitense per procurarsi ogni tipo di informazione riguardante i piani missilistici. L’attribuzione degli attacchi alla Cina – è stato evocato l’APT Leviathan – sarebbe stata giustificata dalla scoperta di tool tipici degli APT sponsorizzati da Pechino e dal tracciamento di un computer lasciato inavvertitamente esposto e localizzato nell’isola di Hainan.

Inoltre due uomini di nazionalità cinese sono ufficialmente accusati di essere membri del gruppo APT10 (Stone Panda) e di aver operato nell’ambito di campagne globali di spionaggio che hanno violato proprietà intellettuali e informazioni confidenziali. Ne ha dato comunicazione il Dipartimento di Giustizia statunitense in data 20 dicembre 2018. Come già noto, il gruppo è attivo da almeno 10 anni e lavora a stretto contatto con lo State Security Bureau della provincia di Tianjin.

Infine tramite un messaggio pubblicato sul portale di SpaceRef, la NASA ha recentemente comunicato che il suo security team ha avviato un’indagine su un data breach che avrebbe colpito alcuni server lo scorso ottobre. Un’analisi iniziale sembra evidenziare il furto di numeri di previdenza sociale e di altre informazioni personali degli impiegati, anche di alto livello, dell’agenzia governativa responsabile della ricerca aerospaziale.

[post_tags]