Weekly Threats N. 16 2019

Nel corso della settimana appena passata è stata osservata una nuova campagna basata sul trojan bancario Ursnif che ha mietuto vittime italiane tra cui utenze della Pubblica Amministrazione sfruttando, come vettore di infezione, messaggi contenenti allegati XLS con macro malevole.

Particolarmente prolifica l’attività dei gruppi APT strutturati: il team iraniano MuddyWater ha colpito in Turchia tramite attacchi di spear-phishing aventi come target il partito politico curdo Komala e il settore militare e della Difesa; sempre di matrice iraniana la sofisticata campagna di DNS hijacking denominata Sea Turtle che ha colpito organizzazioni politiche, militari e di intelligence dell’area MENA violando sistemi di terze parti che fornivano servizi ai soggetti di interesse e/o sfruttando exploit di vulnerabilità; l’APT indiano Dropping Elephant ha poi sferrato due diversi attacchi distribuendo app per Android che si spacciavano per un aggiornamento di Google e per quella legittima del sito di news Kashmir Voice al fine di colpire utenti pachistani.

Da segnalare anche una nuova campagna in Medio Oriente, ribattezzata Aggah, facente parte di una vasta operazione che ha targettizzato anche USA, Europa e Asia. La catena di infezione utilizza le macro di un documento in Word e punta a scaricare il trojan RevengeRAT.

I settori governativi e militari dell’Ucraina sono stati presi di mira da una campagna di spearphishing i cui attori sono associabili alla Repubblica Popolare di Lugansk (LPR) – Stato a riconoscimento limitato le cui autorità separatiste si sono dichiarate indipendenti nel 2014. In questa occasione sono stati distribuitiVermin, QuasarRAT e il ransomware Hidden Tear; uno dei domini rilevati nell’infrastruttura degli attaccanti corrisponde al Ministry of State Security della LPR. 

Si rende nota, infine, l’esistenza di campagne di spear phishing che hanno avuto come obiettivo il settore energetico di Stati mediorientali servendosi di malware come LokiBot e Formbook e sfruttando messaggi di posta che si fingevano provenienti da una grande organizzazione del settore petrolifero.

Per quanto riguarda le vulnerabilità, alcunipopolari servizi VPN sono afflitti da un serio problema che consiste nell’archiviazione non sicura dei cookie di sessione e/o dei paramentri per l’autenticazione: tale bug può permettere ad un attaccante di replicare la sessione VPN e aggirare altri metodi di autenticazione per accedere alle applicazioni utilizzate dalla vittima.  Nel corso della settimana sono stati inoltre rilasciati aggiornamenti di sicurezza che hanno risolto vulnerabilità nei prodotti Cisco, Intel, Oracle e nel core di Drupal; da segnalare anche la correzione di un bug RCE in Apache Tomcat.