Weekly Threats: N. 01 2019

La scorsa settimana, sul versante minacce, è stata rilevata una nuova campagna legata alla compagine APT cinese nota come Hellsing (alias Goblin Panda). I settori presi di mira risultano essere quelli dell’energia e delle telecomunicazioni. Nello specifico, è stato tracciato un documento RTF con funzioni di exploit della vulnerabilità CVE-2017-11882.

Negli USA, un attacco ransomware ha invece causato un ritardo nella distribuzione cartacea di diversi importanti quotidiani statunitensi. L’attacco ha colpito la casa editrice “Tribune Publishing”, responsabile del processo di produzione e stampa di numerosi quotidiani, tra cui: il Los Angeles Times, il San Diego Union Tribune, il New York Times e il Wall Street Journal. Il vettore iniziale della catena d’infezione è stato identificato nel trojan bancario Emotet, sfruttato in questo caso come loader; questo avrebbe dato avvio al download di TrickBot, un altro noto malware bancario e infine, grazie al framework post-compromissione Empire, sarebbe stato scaricato il ransomware Ryuk, scoperto lo scorso agosto.

Rispetto alle vulnerabilità rilevate, un ricercatore di sicurezza – noto online come SandboxEscaper – ha pubblicato ancora una volta un exploit per sfruttare quello che risulta essere il quarto 0-day di Windows in pochi mesi. In questo caso si tratta di una falla che consente di sovrascrivere i file target con dati arbitrari. Il codice funziona però con alcune limitazioni, si basa infatti su condizioni che si verificano raramente, e potrebbe non avere effetti su alcune CPU. È stato comunque dimostrato che lo sfruttamento dello 0-day potrebbe causare in ultima istanza un denial-of-service sulla macchina target.

Adobe ha invece rilasciato nella giornata di ieri un bollettino di emergenza per correggere due vulnerabilità critiche di Acrobat and Reader che consentirebbero di prendere il controllo dei sistemi target. La prima falla, CVE-2018-16011, è di tipo use-after-free e permette di eseguire codice arbitrario. La seconda, CVE-2018- 19725, è di tipo security bypass e consente di fare privilege escalation. Al momento non ci sono evidenze che le due vulnerabilità siano state sfruttate in-the-wild ma è consigliabile aggiornare al più presto sia i sistemi Windows che macOS. Risultano affette le versioni di Acrobat and Reader DC 2015 2015.006.30461 e precedenti, 2017.011.30110 e precedenti e 2019.010.20064 e precedenti.

Rispetto ai data breach della scorsa settimana: in un enfatico post pubblicato su Pastebin, il gruppo TheDarkOverlord ha rivendicato la sottrazione di informazioni sensibili appartenenti ai Larson Studios. Gli studi legali sono stati accusati dal gruppo di non aver rispettato la riservatezza in merito a un precedente leak – riguardante i colossi delle assicurazioni Hicsox Group e Lloyd’s.  Come prova dell’avvenuta compromissione sono stati rilasciati per un tempo limitato 16 screenshot di documenti. Tutti questi documenti – che si mostrano come fax, email e trascrizioni di conversazioni vocali – sembrano far riferimento al contenzioso legale successivo all’attacco terroristico contro il World Trade Center. Il resto del materiale, che TheDarkOverlord ha deciso di mettere in vendita, comprenderebbe 18.000 file “classified”, “confidential”, “secret” appartenenti fra gli altri a FAA, FBI, TSA e USDOJ.

In Corea del Sud i dati personali di 997 rifugiati dalla Corea del Nord sarebbero stati invece oggetto di un leak. Ne avrebbe dato comunicazione il Ministro per l’Unificazione; la sottrazione delle informazioni sarebbe avvenuta a seguito della compromissione di un personal computer presso l’Hana Center – struttura di sostegno ai fuoriusciti nordcoreani – della Provincia del North Gyeongsang.  Risulterebbero esposti nome, data di nascita e indirizzo.

Infine in Germania attaccanti non identificati hanno pubblicato in rete un’enorme quantità di dati trafugati dagli account di numerosi politici e parlamentari tedeschi, ma anche di giornalisti e celebrità tra cui presentatori e cantanti. Fra i dati pubblicati compaiono numeri di telefono e indirizzi, fotografie delle carte di identità, deleghe e numeri di carte di credito ma anche chat personali con i familiari e documenti interni ai partiti. Le informazioni, in alcuni casi risalenti ormai ad alcuni anni fa, sono state divulgate in diverse tranche sul popolare social Twitter. Dalle prime indagini risulta che gli attaccanti avrebbero inizialmente aperto una breccia tramite il client di posta Outlook.