Weekly Threats N. 18 2019

Anche questa settimana Anonymous Italia torna a far parlare di sé, quattro le vittime di compromissione: il portale del quotidiano “Il Sole 24 ORE”, il sito di Magistratura Democratica, la Federazione Italiana Editori Giornali e il sito del negozio Libreria Militare, con sede a Milano, che commercializza testi sui temi della storia e della dottrina militare. In tutti i casi si è trattato di data breach. 

Sempre in Italia una campagna di phishing sta colpendo anche utenti della Pubblica Amministrazione tramite email che si spacciano per comunicazioni dell’Agenzia delle Entrate in merito ad un fantomatico rimborso del canone RAI. Il messaggio è firmato dalla sedicente “Assistenza servizi telematici” di tale agenzia e ha come oggetto “Richiesta di rimborso del canone TV addebitato nelle fatture elettriche”. 

Target della Mongolia sono invece nel mirino di una campagna APT che sfrutta documenti di spear phishing. L’attore è stato identificato da una firma di sicurezza con il nome SectorB06 ed è associabile a un Governo dell’Asia centrale. Nello specifico, è stato rilevato un documento scritto in mongolo che spoofa il “Ministero della Giustizia e degli Affari Interni” di Ulan Bator e che sfrutta l’exploit per CVE-2017-11882 di Microsoft Equation Editor.

Secondo una recente dichiarazione di Amnesty International, la sede di Hong Kong avrebbe subito un sofisticato attacco informatico da parte di attori state-sponsored, il cui modus operandi coinciderebbe con quello dei gruppi legati al Governo cinese. In corso un’indagine dettagliata per ravvisare responsabilità e possibili implicazioni dell’incidente.

Babyshark rimane sotto i riflettori. Rilevati nuovi dettagli della minaccia. In particolare: il malware consente di eseguire i comandi VBS e PowerShell da remoto per sottrarre informazioni di sistema, fare keylogging, scaricare ed eseguire ulteriori payload. Inoltre, gli attori si sono avvalsi come tool di secondo livello di KimJongRAT e PCRat.

Novità anche su Magecart, è stato scoperto un nuovo script con funzioni di skimmer capace di colpire decine di portali per il pagamento online. La minaccia si compone di un loader e di un meccanismo di esfiltrazione. Quest’ultimo si adatta ad almeno 57 differenti gateway adottati in numerosi Paesi.

Sul versante WikiLeaks, si apprende che un tribunale britannico ha condannato il fondatore Julian Assange a 50 settimane di carcere. L’accusa è di aver violato i termini della libertà provvisoria nel 2012, anno in cui l’uomo si rifugiò nell’ambasciata dell’Ecuador a Londra. La vicenda rimane in sospeso rispetto alla decisione, da parte dei giudici inglesi, di accettare o meno la richiesta di estradizione degli Stati Uniti per presunta “pirateria informatica”. 

Rispetto alle vulnerabilità, è stato rilasciato un advisory di sicurezza per segnalare la correzione di una vulnerabilità critica in Oracle WebLogic Server che risulta già sfruttata in the wild; a rischio oltre 36.000 server localizzati soprattutto in Cina e negli Stati Uniti. Alcune delle campagne basate su questo exploit sono finalizzate all’installazione di criptominer. In altri casi, l’exploit  ha consentito di distribuire la botnet Muhstik e  installare una variante del ransomware identificato come Sodinokibi.

Dichiarazione a effetto da parte di Vodafone Group Plc. La compagnia ammette di aver riscontrato alcune backdoor nelle forniture della compagnia cinese Huawei, da cui ha cominciato a comprare dispositivi e software di vario genere nel 2008. Si tratta di vulnerabilità scoperte e corrette già nel biennio 2011-2012, ma la notizia potrebbe comunque continuare a danneggiare la reputazione già compromessa del gigante della telefonia. Secondo Vodafone, le backdoor nascoste nel software avrebbero potuto consentire accesso non autorizzato alla rete fissa italiana, che fornisce servizi Internet a milioni di case e aziende. Erano state inoltre identificate vulnerabilità nei nodi di servizi ottici, responsabili del trasporto del traffico su fibre ottiche e nei gateway di rete a banda larga, che gestiscono l’autenticazione degli abbonati e l’accesso a Internet.

Infine aggiornamenti per Dell, Google e Cisco. Nello specifico Il client del software SupportAssist, preinstallato in numerosi dispositivi Dell che adottano Windows come sistema operativo, è afflitto da due gravi vulnerabilità. In entrambi i casi sono impattate le versioni precedenti alla 3.2.0.90. Google ha rilasciato correzioni per 4 vulnerabilità che affliggono il browser Chrome (versione 74). Quanto a Cisco, sono stati corretti numerosi bug, fra cui se ne segnala uno critico negli switch Nexus 9000.