Questa settimana, sul fronte Italia segnaliamo una campagna basata sul RAT identificato come NanoCore che è stata condotta contro compagnie italiane attive nel settore del lusso. Alcune delle email tracciate fingono di provenire da un importante istituto di credito italiano e contengono in allegato un archivio compresso 7z.
Fa parlare di sé anche un’azione del collettivo hacktivista Anonymous Italia che, in concomitanza con un incontro svoltosi a Cremona sul tema GDPR e Privacy, ha pubblicato nuovi dati sottratti alla CSAmed. Fra tutte le informazioni che gli attaccanti sono riusciti a procurarsi, sono stati rilasciati uno screenshot di Tomcat Web Application Manager, un elenco di 467 database e le configurazioni per accedere a tre di essi.
Sono stati inoltre pubblicati alcuni nuovi dettagli sul ransomware Sodinokibi, sfruttato recentemente per colpire in Italia. Gli analisti hanno rilevato infatti due versioni della minaccia – 1.00 e 1.01 – offuscate con due diversi packer. Entrambe dotate di una whitelist di file e cartelle che vengono preservate dal blocco.
 
Anche per quanto riguarda l’estero gli avvenimenti di maggior rilievo sono tre: in primis una campagna di spionaggio che ha preso di mira Paesi del Medio Oriente al fine di sottrarre informazioni che riguardano perlopiù il settore militare. Gli attaccanti si sono avvalsi di un malware battezzato GolfSpy, inserito in pacchetti legittimi per Androidda cui è stato derivato il nome della campagna: Bouncing Golf.
Sono emerse poi, grazie al quotidiano britannico Guardian, alcune informazioni che hanno condotto alle dimissioni della direttrice delle prestigiose Serpentine Galleries di Londra Yana Peel. Secondo un’inchiesta della popolare testata, infatti, Peel sarebbe da annoverare fra i proprietari della controversa firma di sicurezza israeliana NSO Group, già più volte accusata di mettere i propri software a disposizione di regimi autoritari per lo spionaggio dei dissidenti.
Novità anche per il noto APT russo Turla che negli ultimi mesi si è reso protagonista di tre nuove campagne: per la prima è stata utilizzata una nuova backdoor che va ad arricchire il già nutrito arsenale del gruppo: Neptun. Inoltre, gli attaccanti si sono serviti di una parte di infrastruttura appartenente all’attore state-sponsored OilRig, forse nel tentativo di piantare delle false flag. Per le altre due operazioni, sono stati utilizzati diversi tool finora mai censiti ma quasi tutti sviluppati specificamente per esfiltrare dati sensibili dalle macchine target – che in questo caso sono quelle associabili a enti governativi sparsi fra Medio Oriente, America Latina, Asia ed Europa.
 
Nell’ambito delle vulnerabilità domina il panorama una vicenda che ha coinvolto il browser Firefox e la popolare piattaforma per lo scambio di criptomoneta Coinbase. Proprio a causa di un attacco subito dai dipendenti della piattaforma di exchage, sono stati infatti scoperti due gravi bug 0-day che affliggono il browser di Mozilla e che possono essere sfruttati in combinazioneCVE-2019-11707, che consentirebbe ad un attaccante di eseguire codice da remoto sulle macchine vulnerabili e prenderne il completo controllo, e CVE-2019-11708, una falla di tipo sandbox escape che permette di bypassare la sandbox posta a protezione del browser, aprendo dunque una breccia nei sistemi target.
Concludiamo segnalando una importante vulnerabilità RCE di Oracle WebLogic Server già sfruttata in-the-wild: CVE-2019-2729, un grave bug di Chrome che affligge la componente Blink e che è stato identificato con CVE-2019-5842 una falla di rilievo nei Wi-Fi extender domestici prodotti dalla TP-Link (CVE-2019-7406).

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi