Weekly Threats: N. 08 2019

Settimana intensa, quella appena trascorsa, sul fronte delle minacce in Italia. A distanza di 5 mesi dall’ultima azione, il threat actor che si firma rogue0 ha nuovamente preso di mira, per il momento solo verbalmente, il Movimento 5 Stelle. Nello specifico stavolta ha biasimato il comportamento del Governo sulla vicenda che ha coinvolto la nave Diciotti e ironizzato sulla decisione di chiamare in causa gli elettori pentastellati.

Anonymous Italia è tornato in attività con due azioni nell’ambito di #OpGreenRights. Nel primo caso l’operazione è collegata al problema dell’inquinamento dell’aria e alle emissioni di ammoniaca nell’atmosfera causate per il 95% dall’agricoltura. Il sito dell’Unione Nazionale Alimenti Surgelati ha subito il defacement e il dump dei dati;  solo il dump altri portali. Nel secondo l’obiettivo è stato il Ministero dell’Ambiente e della tutela del territorio e del mare, accusato di favorire chi si arricchirebbe con opere come l’aeroporto di Firenze e la TAP. Ha subito defacement e data leak – tra gli altri portali – anche il sito web del Ministero dell’Ambiente. Stavolta la quantità di informazioni sottratte è considerevole: tra di esse si segnalano 2,5GB di documenti PDF, nomi, cognomi ed email di personale riconducibile al Ministero, disposizione degli uffici, username, password in formato hash, credenziali di diversi database.

Non si arrestano inoltre le campagne Ursnif: il trojan torna infatti a colpire l’Italia con due diversi attacchi. Nel primo caso attraverso una campagna di spam, che distribuisce il trojan tramite archivi ZIP protetti da password contenenti documenti malevoli deputati ad infettare le macchine. Nel secondo caso – una nuova ondata di malspam il cui tema sfruttato dagli attaccanti è quello del pagamento di fatture – gli allegati malevoli dispongono di macro il cui codice è molto offuscato e quindi difficile da rilevare per i programmi di detection. La minaccia utilizza il parametro xlCountrySetting per verificare l’impostazione del linguaggio e interrompere le attività se rileva un codice relativo a determinati Paesi.

Spostando l’attenzione sull’America del Sud emerge un nuovo gruppo, APT-C-36 o Blind Eagle – probabilmente di matrice sudamericana – che sta conducendo una serie di attacchi mirati nei confronti della Colombia. Fra i target principali compaiono istituzioni governative, importanti compagnie del settore finanziario, l’industria del petrolio, la manifattura professionale e la logistica, cui sono stati inviati documenti esca che fingevano di provenire dai enti governativi. In allegato alle mail di spear phishing compare sempre un archivio RAR protetto da una password riscontrabile nel testo del messaggio. All’interno dell’archivio è presente un documento che nasconde una macro HTML il cui scopo è quello di installare una variante del tool legittimo Imminent RAT sulla macchina target.

Ampliamento del raggio d’azione invece per l’APT nord-coreano Lazarus, che ora mira contro compagnie con base in Russia. In questa campagna ha impiegato una variante aggiornata della backdoor KEYMARBLE. Uno dei documenti di decoy ha filenameNDA_USA.pdf e si finge un NDA (non disclosure agreement) destinato alla compagnia russa StarForce Technologies.

Infine, ricercatori di sicurezza hanno recentemente scoperto un sito di phishing che mima una pagina di login per Unite Unity delle Nazioni Unite (UN), un’applicazione SSO utilizzata dallo staff dell’ONU. Quando un utente tenta il login sulla falsa pagina, il suo browser viene rediretto ad un altro sito dove compare un invito a partecipare alla proiezione di un film presso l’ambasciata polacca a Pyongyang. Lo scopo della campagna, che ha colpito provider mail, istituzioni finanziarie e provider di carte di credito, è comunque quello di rubare credenziali di accesso da poter sia rivendere che riutilizzare in caso di dati bancari. Fra le vittime compaiono gli utenti di Yahoo, AOL, 163.com, Visa Vanilla Gift Cards, Caixa Bank of London e First Texas Bank.

Riguardo alle vulnerabilità, un aggiornamento di sicurezza rilasciato da Drupal risolve una vulnerabilità critica di tipo remote code execution che affligge il core del popolare CMS.

Su Facebook una vulnerabilità di tipo cross-site request forgery consentirebbe invece a un attaccante di compromettere un account utente semplicemente inducendo la vittima a cliccare su un link appositamente creato.

In ultimo – rispetto ai data breach – la versione in 3D di Google Earth ha inavvertitamente rivelato la posizione di alcuni siti militari sensibili di Taiwan. Il problema ha coinvolto anche alcune strutture di lancio dei missili Patriot e le infrastrutture del National Security Bureau e del Military Intelligence Bureau.