Weekly Threats N. 23 2019

Anonymous Italia continua a colpire. Sono due le azioni messe a segno dal collettivo questa settimana. Nel primo caso è stato rivendicato il data breach di www[.]paolorusso.it, sito web personale di Paolo Russo, parlamentare di Forza Italia. Tra le informazioni rese note: database e tabelle, nomi, username, email, password. Nel secondo caso l’attacco ha riguardato il portale della Lega Nord di Cremona, che ha subito defacement e dump. Sulla pagina vandalizzata compare una rappresentazione in chiave fantasy del dio Nettuno che, secondo gli anonymi, avrebbe salvato i migranti sui barconi, a differenza del leader della Lega. I dati sottratti comprendono elenchi dei database e delle tabelle, nomi e cognomi, username, email, telefono e password e il profilo di alcuni esponenti politici.

L’Italia è vittima anche di due diverse campagne di malspam che distribuiscono rispettivamente il malware sLoad e il ransomware Sodinokibi. Nel primo caso l’ondata di malspam è rivolta a utenze PEC nostrane. I messaggi fingono di recapitare fatture e mostrano dei link dai quali le vittime scaricano un archivio nel quale è contenuta la minaccia. L’oggetto ha la seguente formula “Emissione Fattura”. Nel secondo caso utenti singoli ed organizzazioni hanno ricevuto messaggi di posta elettronica che si fingono comunicazioni di atti giudiziari; ad essi sono allegati archivi compressi protetti da password che contengono il codice malevolo. L’oggetto delle email varia per ogni vittima ed è composto da una prima parte variabile e dalla dicitura “Numero di prova”.

Magecart sfrutta alcuni CDN (Content Delivery Network ) Amazon CloudFront al fine di ospitare librerie JavaScript nelle quali è stato iniettato uno script con funzione di skimmer. I target sono diversi rispetto alle campagne tradizionali e comprendono un portale di news, uno studio legale, una compagnia di software e un piccolo operatore delle telecomunicazioni, sul sito di ciascuno dei quali è stato installato un diverso CMS (Content Management System). Poiché alcuni di questi siti non dispongono di sistemi per il pagamento online, ma solo di form per il login, è possibile che gli attaccanti stiano andando “a strascico”, raccogliendo ogni tipo di informazione.

Il gruppo di matrice russa Gamaredon sembra essere l’attore responsabile di una nuova campagna basata su mail di spear phishing contro target ucraini. Il messaggio di posta elettronica porta in allegato un archivio RAR contenente una cartella con nome in ucraino che tradotto suona come “suspected”. Al suo interno vi è una catena di file SFX (self extracting archive) protetti da password che si conclude con una versione customizzata del tool di amministrazione remota UltraVNC.

Una firma di sicurezza ha ricostruito i tratti salienti di una campagna malevola firmata dal gruppo russo Anunak (alias Carbanak, FIN7) che si è svolta a metà del 2018 e che ha preso di mira diverse istituzioni finanziarie localizzate in Europa Orientale. Obiettivo dei criminali è stato infettare i network ATM per sottrarre denaro cash attraverso un intervento. A tal fine si sono avvalsi, come di consueto, della minaccia Cobalt Strike, veicolata attraverso una campagna di spear-phishing a impiegati di istituti bancari, spacciando le email per alert di IBM. Tra le informazioni sottratte, a seguito dell’infezione, anche documenti riguardanti procedure e applicazioni in uso internamente; ciò ha permesso di prenderne direttamente il controllo.

Rispetto alle vulnerabilità, la ricercatrice Alisa Shevchenko – nota alle autorità statunitensi per aver fornito supporto al G.R.U. russo durante le Presidenziali USA del 2016, attraverso la compagnia da lei fondata, la Zor Security – ha segnalato via Twitter l’esistenza di una vulnerabilità 0-day di tipo RCE che impatta i web server Nginx. La tipologia del bug sarebbe in realtà integer overflow e verrà corretta con il rilascio della versione 0.3.3. Inoltre, sarebbe già stato corretto anche un altro bug di tipo array overflow con il rilascio della versione 0.3.2. Il team di sicurezza di Nginx, da parte sua, sostiene che nessuna delle due vulnerabilità sia sfruttabile.

Un ricercatore ha rivelato, nell’ambito della conferenza di sicurezza di Apple “Objective by the Sea”, l’esistenza di un bug nel sistema operativo Mojave. Il problema riguarda il sistema Transparency Consent and Control (TCC) che, oltre a gestire il controllo dei setting della privacy, include anche un database chiamato AllowApplicationsList.plist che funziona da whitelist di applicazioni specifiche. Un eventuale attaccante può sfruttare una di queste app per aggirare gli alert che macOS presenta agli utenti quando un’applicazione cerca di accedere ai dati o al dispositivo.

Tra le correzioni rilasciate si segnalano quelle contenute nel bollettino di giugno di Android e 9 bollettini di sicurezza Cisco per diversi prodotti, anche industriali, che correggono vulnerabilità di alto e medio impatto.

Infine un ricercatore ha rivelato oggi i dettagli di una nuova vulnerabilità 0-day di Microsoft Windows Remote Desktop Protocol (RDP). Tracciata come CVE-2019-9510, la falla in questione consentirebbe ad attaccanti lato client di bypassare la schermata di blocco delle sessioni di remote desktop.