Fra gli avvenimenti di questa settimana che coinvolgono l’Italia, segnaliamo la comparsa di un trojan bancario per Android che finora ha colpito soprattutto in Russia, ma che sta ora cominciando a diffondersi in diversi paesi europei. La minaccia si chiama Riltok e si spaccia per applicazioni gratuite – ad esempio Subito – pubblicizzate tramite SMS contenenti un link malevolo. Anche l’exploit-kit Greenflash Sundown, finalizzato alla distribuzione di un miner per monero, del ransomware SEON e del trojan bancario Pony ha mietuto numerose vittime nel nostro Paese.

Ancora azioni dimostrative da parte del collettivo hacktivista Anonymous Italia che stavolta punta il dito contro i numerosi casi di morti sul lavoro. Per sostenere la propria causa, il gruppo ha colpito con dump e defacement i siti del Sindacato Nazionale Lavoratori Scuola, del Centro di Assistenza Dipendenti e Pensionati e dell’Unione Italiana Lavoratori.
Concludiamo la rassegna dedicata all’Italia con una campagna malevola  basata sullo sfruttamento del bug del server di posta Exim battezzato “Return of the WiZard” e tracciato con codice CVE-2019-10149; a quanto risulta, sono stati censiti numerosi server ancora esposti localizzati in moltissime regioni – in cima a tutte l’Abruzzo e l’Emilia Romagna.

La scena APT è stata dominata dalle vicende di MuddyWater e APT33. I leak di informazioni riguardanti questi due gruppi di matrice iraniana si sono susseguiti quotidianamente. In particolare, è stato reso pubblico il codice sorgente della minaccia MuddyC3 ed è stato aperto un caso a carico di un ricercatore iraniano, Nima Nikjoo, che sostiene di collaborare con Symantec in qualità di Reverse Engineer e Malware Analyst, operando da remoto verso clienti in Turchia ed Emirati Arabi Uniti. L’uomo, che è stato indicato come uno dei membri di APT33, ha tentato di smontare una per una tutte le accuse in un lungo e circostanziato post. A quanto risulterebbe da successive approfondite indagini, tuttavia, egli non sarebbe in alcun modo alle dipendenze della firma di sicurezza statunitense e tutte le sue affermazioni risulterebbero destituite di ogni credibilità. 

Dall’inchiesta di una giornalista cinese, è emersa poi una vicenda che ha condotto alla scoperta di un tool di sorveglianza utilizzato dalle autorità di Pechino. Numerosi cittadini cinesi hanno infatti denunciato sui social network di essere state invitati dalla compagnia per la quale lavorano a recarsi presso una stazione di polizia per un controllo; lì gli agenti avrebbero sfruttato il software chiamato MFSocket per analizzare e tenere sotto controllo i loro dispositivi.

Restando nella Repubblica Popolare, citiamo una campagna dell’APT sudcoreano DarkHotel che ha preso di mira diversi dirigenti cinesi impiegati nel settore del commercio estero utilizzando versioni compromesse di software legittimi come Netease Mailbox Master, OpenSSL o zlib.
 
Di impatto globale invece la sofisticata operazione ribattezzata Operation Soft Cell che ha colpito almeno 10 provider di telecomunicazioni in tutto il mondo. La campagna, il cui obiettivo principale è individuabile nella raccolta di dati appartenenti a specifici target di alto profilo, sembrerebbe associabile a un gruppo di matrice cinese e pare sia attiva già dal 2017.
 
Nel contesto della guerra cyber, si inserisce invece l’episodio che ha visto protagonisti gli Stati Uniti e l’Iran. Gli USA avrebbero infatti lanciato un attacco contro gli Islamic Revolutionary Guard Corps (IRGC),impiegati nella gestione e nel controllo dei lanciamissili e dei lanciarazzi, in risposta al recente bombardamento di due navi petroliere nel Golfo di Oman.  L’attacco si inserisce in un quadro di tensioni avviatesi con l’accordo sul nucleare siglato nel 2015 dall’Iran, avversato dall’attuale amministrazione USA, e culminato nei giorni scorsi con l’abbattimento di un drone americano nei cieli persiani.

Proseguiamo con la notizia di un furto piuttosto consistente a Bitrue, una piattaforma per lo scambio di criptomoneta con base a Singapore dalla quale sono stati sottratti oltre 4,5 milioni di dollari in valuta Ripple (XRP) e Cardano (ADA).

Concludiamo con i bollettini di sicurezza. Questa settimana segnaliamo che Microsoft ha corretto un grave bug che affligge Outlook per Android tracciato con CVE-2019-1105, mentre Cisco ha pubblicato 4 advisory che rendono nota la soluzione di vulnerabilità in Data Center Network Manager.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi