Weekly Threats N. 19 2019

Anonymous Italia continua a mietere vittime: dopo l’annuncio di un data breach di vaste dimensioni – con un tweet contenente una foto del Sindaco di Roma Virginia Raggi – il collettivo ha avviato il rilascio dei dati. Le prime informazioni appartengono all’Ordine degli avvocati di Caltagirone e Matera. Successivamente si sono aggiunti l’Ordine degli avvocati di Piacenza e l’Ordine degli avvocati di Roma. In quest’ultimo caso, come prova dell’avvenuta compromissione, gli hacktivisti hanno rilasciato 7 file CSV contenenti, fra l’altro, centinaia di combinazioni di dati tra cui indirizzi PEC con relative password in chiaro, dati personali e altre annotazioni. Inoltre, sono stati pubblicati messaggi provenienti dalle caselle di posta elettronica certificata (PEC) di numerosi avvocati, fra cui anche quella del Sindaco di Roma, Virginia Raggi. La serie di data breach è poi passata dal settore dell’avvocatura a quello delle telecomunicazioni, dove è stata colpita Vodafone. Un tweet del profilo @LulzSec_ITA segnala il rilascio di informazioni comprese in un database associabile all’operatore mobile. Infine, le operazioni sono proseguite con il data breach al sito del Garante della Privacy, ma con esigua pubblicazione di dati; l’azione sembra quindi essere puramente dimostrativa.

Due diverse campagne basate su trojan bancari, rispettivamente Ursnif e Gootkit, hanno targettizzato utenti italiani. Nel primo caso è stata infatti inviata una mail intitolata “FATTURA N. xxx DEL xx.yy.zz GESTIONE ORIZZONTI.” Nel secondo, una campagna malevola ha sfruttato mail di phishing che arrivano da domini pec.it, un servizio a pagamento italiano per l’invio di mail certificate. Gli attaccanti si sono serviti del suddetto dominio compromesso per indurre le vittime ad aprire gli allegati malevoli, con l’obiettivo di attivare una lunga catena di infezione che porterà al download del payload principale, vale a dire quello del trojan bancario Gootkit.

Vittime italiane anche per  attacchi contro reti aziendali basati su un nuovo ransomware identificato come MegaCortex, distribuito grazie a sofisticate tecniche di infezione. In particolare, viene sfruttato un penetration tool per lanciare la reverse shell Meterpreter nel sistema della vittima. I ricercatori hanno inoltre evidenziato una correlazione fra gli attacchi dovuti a MegaCortex e la presenza sulla stessa rete dei due noti malware Emotet e Qbot.

Di recente è stata scoperta una campagna malevola ancora in corso che da circa tre settimane sta prendendo di mira un provider di energia per infrastrutture critiche in Romania. Per infettare i target, gli attaccanti si sono serviti di una variante del downloader Fareit/Pony e del malware infostealer Formbook.

Spostando l’attenzione sul Medio Oriente, sabato scorso lo Stato di Israele ha lanciato un attacco aereo contro edifici situati nella Striscia di Gaza che si ritengono ospitare la sede di unità operative cyber di Hamas. L’operazione, che sposta su un campo di conflitto reale la risposta a un cyber attacco, è stata giustificata da una dichiarazione della NATO – il “Cyber Defence Pledge”dell’8 luglio 2016 – in cui si equiparano le campagne APT a vere e proprie battaglie nell’ambito dei moderni scenari di guerra. In un tweet ufficiale le Israel Defence Forces hanno rivendicato l’azione – mostrandone anche il video e una foto del palazzo – e dichiarando che HamasCyberHQ.exe, associabile al threat actor Molerats, è stato eliminato.

Infine prosegue il leak di dati provenienti dai server dell’APT iraniano OilRig e di altri gruppi tra cui MuddyWater e un team identificato come Rana. L’identità dei responsabili del leak non è nota, ma i dati sono sono stati pubblicati in tre gruppi Telegram: Lab Dookhtegam, Green Leakers, Black Box. Si tratterebbe in particolare di documenti del Ministero dell’Intelligence di Teheran contenenti informazioni riguardo a Rana, tra i cui obiettivi rientrerebbe il tracking della popolazione iraniana sia in patria che all’estero e la protezione del regime. Nei documenti compaiono anche liste di vittime, strategie di attacco, aree di accesso, una lista dei membri e screenshot di siti web interni rilevanti per il sistema di spionaggio. Un altro file contiene dettagli riguardo a un programma di sviluppo per l’attacco di sistemi SCADA e altri ancora dettagliati piani di attacco contro compagnie aeree, nonché progetti per colpire hotel e compagnie di assicurazioni israeliane.

Rispetto alle vulnerabilità, è stato pubblicato il bollettino di sicurezza di Android del mese di maggio. È stata corretta una vulnerabilità di alto impatto SQLite che affligge la Window function di Sqlite3 3.26.0 ed è di tipo use after free, con conseguente possibilità di esecuzione di codice da remoto. Corretta anche una vulnerabilità di tipo XSS (cross site scripting) che affligge il core di Joomla!. In ultimo, corretta anche la falla nella gestione degli hyperlink di LibreOffice e risolto un bug in una componente di terze parti che impatta il core di Drupal.