Weekly Threats N. 17 2019

Sul fronte minacce si registrano nuove attività per Anonymous Italia. Nell’ambito di #OpGreeenRights e a sostegno della causa ecologista, il collettivo si è fatto portatore dell’operazione globale lanciata da numerosi gruppi uniti sotto lo slogan Xrebellion. Per supportare la causa è stato creato xrebellion[.]org, un portale su cui vengono esposte lerichieste del movimento ai Governi di tutti i paesi. Gli hacktivisti hanno inoltre compromesso diversi portali istituzionali italiani con un’operazione di defacement ed hanno esfiltrato dati di vario genere, poi pubblicati su Privatebin.
Una seconda azione ha riguardato la compromissione del Sistema Informativo degli Archivi di Stato del Ministero per i Beni e le Attività Culturali, di cui sono stati messi online l’intero schema del database SQL del portale e la tabella relativa agli utenti, contenenti tra l’altro, le password in chiaro.

Nuovi dettagli sono emersi in relazione alle compromissioni basate sui tool legittimi AutoHotKey e Team Viewer che hanno colpito anche target italiani. Le operazioni sono state condotte contro membri di autorità finanziarie governative e rappresentanti di numerose ambasciate con sede in Europa. Sembrerebbero evidenti alcuni punti di contatto fra questa campagna e diverse operazioni precedenti condotte da attori di lingua russa. Inoltre alcuni elementi avrebbero consentito di rintracciare il responsabile degli attacchi: un individuo conosciuto in rete come “EvaPiks”, membro del forum CyberForum[.]ru e motivato per lo più da interessi finanziari.

Sempre in ambito di crimini finanziari, nuovi dettagli sono invece stati rilevati rispetto a una delle backdoor più prolifiche degli ultimi anni. Un ricercatore di sicurezza ha infatti scoperto due archivi RAR contenenti il codice sorgente, le build e altri tool del noto malware Anunak, sviluppato dall’omonimo gruppo di matrice russa (alias Carbanak e FIN7). La minaccia utilizza un meccanismo di Windows chiamato named pipe, come mezzo di comunicazione e coordinamento fra tutti i thread, i processi e i plugin. I comandi, inoltrati attraverso la componente tasking alla named pipe, possono essere inviati da un client local ad Anunak anche senza l’uso di rete. Per offuscare il codice viene utilizzato il sistema di risoluzione delle API di Windows.

Recentemente è stato scoperto un attacco drive-by download che sfrutta Google per distribuire la minaccia bancaria LoadPCBanker. Il malware, che arriva all’interno di un archivio RAR, viene distribuito tramite Google per approfittare della fiducia degli utenti nel motore di ricerca; inoltre, si serve di Google File Cabinet – che non blocca gli upload di file malevoli come invece accade con Gmail. Poiché il malware arriva camuffato da file PDF con titolo in lingua portoghese, gli analisti hanno concluso che le vittime siano da ricercare principalmente fra gli utenti brasiliani.

Torna a far parlare di sé ShadowHammer, la serie di attacchi perpetrati grazie alla tecnica di infezione “supply chain” e alla utility di ASUS “Live Update”. Ulteriori analisi hanno infatti rivelato che ASUS non è stata l’unica vittima della campagna. Tale scoperta è stata resa possibile dal rinvenimento di altri sample che utilizzano lo stesso algoritmo e che appaiono firmati con certificati validi. Tra i dettagli si evidenzia anche che la minaccia interrompe automaticamente la sua esecuzione solo nel caso in cui vengano rilevati il cinese semplificato o il russo come lingue di sistema.

Rispetto alle vulnerabilità la chat governativa francese Tchap – pensata per consentire lo scambio di informazioni fra dipendenti del Governo, parlamentari e ministri senza affidarsi a server localizzati all’estero – è risultata affetta da un grave bug, prontamente risolto. Lo sfruttamento di questo bug nella validazione dell’email di registrazione consente a chiunque di registrarsi e di avere accesso a gruppi e canali, senza utilizzare indirizzi ufficiali governativi.

Relativamente ai data breach, di recente sono stati trovati esposti in rete otto database insicuri contenenti circa 60 milioni di record relativi a utenti LinkedIn, per circa 229 GB. I dati contenuti al loro interno sono stati ottenuti tramite scraping di informazioni pubbliche presenti sul noto social LinkedIn. Si tratta in particolare di informazioni di profilo, ID, curriculum, altri profili social e ultimi aggiornamenti.

Infine è stato rinvenuto in rete un database insicuro appartenente all’azienda cinese che ha sviluppato l’applicazione per Android “WiFi Finder”. Al suo interno erano contenute le password in chiaro e gli username di oltre 2 milioni di utenti, insieme alla localizzazione di decine di migliaia di hotspot statunitensi, molti dei quali privati.