Piuttosto articolato risulta il panorama delle minacce protagoniste di questa settimana.
Sulla scena italiana è stata rilevata una campagna malware basata sul trojan bancario Ursnif. Utenti privati e grandi aziende e organizzazioni sono stati raggiunti da un’ondata di email contenenti allegati malevoli, mirata proprio al nostro territorio nazionale e incentrate sul tema della fatturazione elettronica.
In campo globale, invece, si segnalano eventi di portata più ampia. È stata scoperta una backdoor russa su oltre 2.000 database insicuri appartenenti ad aziende i cui affari o interessi risultano in qualche modo collegati a Mosca; si tratta perlopiù di piattaforme che gestiscono transazioni finanziarie.
Negli Stati Uniti, invece, il Dipartimento di Giustizia ha annunciato che è stata mappata la botnet Joanap, realizzata dal gruppo APT nordcoreano Lazarus, e che sono in corso attività finalizzate alla sua distruzione. Poiché risultano ancora numerose macchine infette, FBI e autorità delle Nazioni coinvolte sono al lavoro per notificare il fatto a tutti gli utenti coinvolti.
Continuando sul versante APT, abbiamo visto il ritorno del gruppo state-sponsored iraniano Chafer e di quello indiano noto come WindShift o Bahamut. Il primo sta sfruttando il tool Remexi per monitorare enti diplomatici stranieri con base in Iran, mentre l’altro sta colpendo organizzazioni governative e l’infrastruttura critica in Medio Oriente.
Quanto alle vulnerabilità, si segnalano due casi di sfruttamento che hanno interessato il plugin Total Donations di WordPress e due modelli di router Cisco.
Una falla 0-day individuata nel plugin del noto CMS è stata abusata in-the-wild per ottenere accesso amministrativo ai portali target. Due gravi bug riscontrati nei dispositivi RV320 e RV325 sono stati sfruttati per eseguire codice malevolo da remoto; i device che risultano ancora vulnerabili, localizzati perlopiù negli StatiUniti, sarebbero circa 10.000.
Data breach per l’azienda costruttrice di automobili e aerei civili Airbus. La compagnia ha recentemente reso noto il fatto, spiegando che è stato coinvolto il sistema di informazione del settore “CommercialAircraft Business“. Gli attaccanti sono riusciti a esfiltrare dati sensibili di numerosi dipendenti europei e partner commerciali.
Intanto da Facebook e Instagram sono stati rimossi quasi 800 fra account, gruppi e pagine registrati in Iran e mirati a diffondere disinformazione in favore del Governo di Teheran.