Weekly Threats: N. 09 2019

Anche questa settimana sul fronte minacce si registrano diverse attività di Anonymous Italia nell’ambito di #OpGreenRights. L’operazione intende sensibilizzare l’opinione pubblica sul caso Taranto. In un primo tweet il collettivo ha invitato a partecipare alla fiaccolata in ricordo dei morti di cancro e delle vittime di malattie che si ritengono connesse all’inquinamento, esplicitando l’intenzione di prendere di mira la società indiana ArcelorMittal. In un secondo messaggio più esteso è stato rivendicato il defacement dei siti www[.]tarantoinforma.it e www[.]unimpresapuglia.com. Il gruppo ha inoltre accusato l’Ilva di aver procurato “stragi” e ha invitato il Governo alla bonifica dell’area interessata. 

Un’altra operazione – attiva almeno dal 2016 e identificata come “Operazione Pistacchietto” – ha come obiettivo utenti italiani. Gli attaccanti agiscono su due diversi fronti: distribuiscono una backdoor mediante l’invio di email con allegati o link malevoli e sottraggono credenziali di Gmail, sfruttando una pagina di phishing. La campagna prende il nome dall’utente di GitHub che ha registrato il repository in cui si trova questa minaccia.

Si torna a parlare di elezioni USA. Il Washington Post ha rivelato che durante le elezioni di midterm sarebbe stata condotta con successo una campagna cyber di tipo offensivo per sventare tentativi di interferenza da parte della Russia. L’attacco avrebbe mirato ai Servizi segreti e agli account troll attivati dalle forze russe, sfruttando ogni tipo di vettore. L’infezione sarebbe andata in porto, nello specifico, grazie a un’email di spear phishing contro uno degli impiegati dell’IRA (Internet Research Agency), azienda con base a San Pietroburgo specializzata nelle attività di manipolazione delle informazioni sui social e attraverso portali di news. 

Un Ateneo degli Stati Uniti – nel quale si stava per tenere una conferenza sulla denuclearizzazione della Corea del Nord – risulta invece vittima di una campagna di spear phishing di matrice nordcoreana. Compito dell’allegato malevolo è quello di scaricare un malware battezzato dagli analisti BabyShark. Il malware è finalizzato all’esfiltrazione di dati e allo svolgimento di ulteriori comandi. 

Fra settembre 2018 e gennaio 2019 il gruppo APT noto come BITTER ha preso di mira organizzazioni del Pakistan e dell’Arabia Saudita sfruttando una minaccia che sembrerebbe inedita. Questa famiglia di malware, battezzataArtraDownloader, sembra avere come unico scopo quello di scaricare ed eseguire BitterRAT. ArtraDownloader non è particolarmente sofisticato, si garantisce la persistenza nei sistemi grazie a chiavi di registro e trasmette i dati attraverso richieste HTTP.

A partire dalla metà del 2018 è stata inoltre tracciata una campagna dai caratteri mutevoli finalizzata alla distribuzione della backdoor More_eggs. Gli attaccanti si fingono impiegati di compagnie che offrono lavoro e contattano le potenziali vittime attraverso richieste di connessione sul LinkedIN o email con allegati o link malevoli o le inducono a visitare direttamente siti web malevoli. More_eggs ha funzionalità di downloader, ma è anche in grado di esfiltrare informazioni di sistema e profilare le macchine colpite. I target della campagna sono perlopiù compagnie USA attive nei settori commerciale, farmaceutico, dell’entertainment e dell’e-commerce. 

Relativamente alle vulnerabilità, WinRAR risulta afflitta da una vulnerabilità vecchia di oltre 19 anni che, se sfruttata in determinate condizioni, consente di prendere il controllo totale della macchina target. La PoC dell’exploit nel suo insieme richiede lo sfruttamento di una serie di bug tra cui quello identificato con codice CVE-2018-20250. La vulnerabilità sarebbe sfruttata su più fronti: da un malware che agisce come backdoor generata con Metasploit Framework; da una campagna battezzata “Operation Hidden Python” che si avvale di documenti di phishing sul tema dell’incontro fra i Presidenti degli Stati Uniti e della Corea del Nord; da un’ulteriore operazione in cui gli attaccanti sembrano aver preso di mira l’Ucraina, sfruttando un documento PDF relativo al tema legislativo. Più in generale tale vulnerabilità continua ad essere sfruttata da attori diversi, fra cui vi sono anche alcuni APT. 

Di recente sono stati rilevati in the wild numerosi PDF che sfruttano una vulnerabilità 0-day di Google Chrome. La falla in questione permette di tracciare gli utenti e, nel caso la vittima usi Chrome come lettore PDF, esfiltrare informazioni quali IP pubblico, versione del sistema operativo e l’intero percorso del PDF sul PC dell’utente.

Infine la vulnerabilità critica CVE-2019-6340 di Drupal, che consente esecuzione di codice da remoto, risulta al momento sfruttata in the wild. Ricercatori di sicurezza hanno rilevato decine di tentativi di attacchi contro siti web di diversa tipologia, fra cui anche governativi e appartenenti a servizi finanziari.

[post_tags]