Weekly Threats: N. 05 2019

01 Febbraio 2019

Piuttosto articolato risulta il panorama delle minacce protagoniste di questa settimana.

Sulla scena italiana è stata rilevata una campagna malware basata sul trojan bancario Ursnif. Utenti privati e grandi aziende e organizzazioni sono stati raggiunti da un’ondata di email contenenti allegati malevoli, mirata proprio al nostro territorio nazionale e incentrate sul tema della fatturazione elettronica.

In campo globale, invece, si segnalano eventi di portata più ampia. È stata scoperta una backdoor russa su oltre 2.000 database insicuri appartenenti ad aziende i cui affari o interessi risultano in qualche modo collegati a Mosca; si tratta perlopiù di piattaforme che gestiscono transazioni finanziarie.

Negli Stati Uniti, invece, il Dipartimento di Giustizia ha annunciato che è stata mappata la botnet Joanap, realizzata dal gruppo APT nordcoreano Lazarus, e che sono in corso attività finalizzate alla sua distruzione. Poiché risultano ancora numerose macchine infette, FBI e autorità delle Nazioni coinvolte sono al lavoro per notificare il fatto a tutti gli utenti coinvolti.

Continuando sul versante APT, abbiamo visto il ritorno del gruppo state-sponsored iraniano Chafer e di quello indiano noto come WindShift o Bahamut. Il primo sta sfruttando il tool Remexi per monitorare enti diplomatici stranieri con base in Iran, mentre l’altro sta colpendo organizzazioni governative e l’infrastruttura critica in Medio Oriente.

Quanto alle vulnerabilità, si segnalano due casi di sfruttamento che hanno interessato il plugin Total Donations di WordPress e due modelli di router Cisco.

Una falla 0-day individuata nel plugin del noto CMS è stata abusata in-the-wild per ottenere accesso amministrativo ai portali target. Due gravi bug riscontrati nei dispositivi RV320 e RV325 sono stati sfruttati per eseguire codice malevolo da remoto; i device che risultano ancora vulnerabili, localizzati perlopiù negli StatiUniti, sarebbero circa 10.000.

Data breach per l’azienda costruttrice di automobili e aerei civili Airbus. La compagnia ha recentemente reso noto il fatto, spiegando che è stato coinvolto il sistema di informazione del settore “CommercialAircraft Business“. Gli attaccanti sono riusciti a esfiltrare dati sensibili di numerosi dipendenti europei e partner commerciali.

Intanto da Facebook e Instagram sono stati rimossi quasi 800 fra account, gruppi e pagine registrati in Iran e mirati a diffondere disinformazione in favore del Governo di Teheran.

[post_tags]

0-Day Airbus Bahamut Chafer Cisco data breach Facebook Ursnif WindShift WordPress

Contenuti correlati

Microsoft corregge 6 0-day, rivendicazioni e indagini in campo ransomware, fermento tra gli APT cinesi

Data breach alla Sisense, leader nel campo della Business Intelligence

Weekly threats N.31