Questa settimana, una grande azienda italiana del settore petrolifero è stata colpita con una nuova variante di Agent Tesla, un RAT con funzioni di keylogger. Alcune vittime della stessa campagna, che non sembra mostrare caratteri state-sponsored, sono state individuate in Svizzera, Turchia ed Emirati Arabi Uniti. La minaccia è stata distribuita tramite mail di spear phishing inviate da domini spoofati cui è allegato un archivio che scarica un malware di primo livello in grado a sua volta di installare il payload finale e garantirne la persistenza.

Sempre rimanendo in Italia, segnaliamo che il Consiglio dei Ministri ha approvato un decreto-legge che riforma la disciplina del Golden Power per garantire la sicurezza delle nuove infrastrutture di Tlc, in particolare quelle 5G. Le aziende avranno infatti 10 giorni di tempo – a seguito della conclusione di un accordo con aziende e fornitori extra-Ue – per consegnare alla Presidenza del Consiglio dei Ministri una informativa completa. Secondo fonti giornalistiche, è possibile che il decreto sia frutto delle preoccupazioni riguardanti il potenziale coinvolgimento delle aziende cinesi HUAWEI e ZTE nello sviluppo delle reti 5G.

Desta preoccupazioni anche un’altra azienda cinese, la Semptian, che avrebbe partecipato allo sviluppo della piattaforma SuperVessel patrocinata da OpenPower Foundation, una no-profit guidata da esecutivi di Google e IBM. La questione appare come minimo singolare visto che la Semptian – che si presenta come un operatore nel campo della “big data analysis” – sarebbe di fatto implicata in campagne di sorveglianza governativa e censura di massa grazie alla fornitura di tool di spionaggio a numerose agenzie governative mediorientali.

Ma non sono finite le vicissitudini del mondo cyber della Repubblica Popolare che fanno notizia questa settimana: continuano infatti le indagini svolte da Intrusion Truth, un team di ricercatori che sta mettendo in luce i rapporti che intercorrono fra gli APT Stone Panda e APT3 e il Ministero per la Sicurezza Nazionale Cinese (MSS). Si delinea infatti un possibile schema che vede l’MSS come il principale finanziatore e promotore dei gruppi APT, noti da anni per aver condotto campagne di sorveglianza, di spionaggio industriale e più in generale di esfiltrazione di dati sensibili da organizzazioni attive in vari settori. Le indagini di Intrusion Truth sono ovviamente supportate da alcuni documenti che sembrano provare le correlazioni ipotizzate dal team.

Grande attenzione si concentra anche intorno alle vicende della ormai popolarissima applicazione FaceApp, sviluppata da una compagnia con base in Russia, che manipola le foto degli utenti per invecchiarne i tratti. Un senatore degli Stati Uniti ha richiesto indagini sulla possibile cessione dei dati raccolti al Governo di Mosca. Nel frattempo il crimine non ha perso tempo; il brand è stato sfruttato per distribuire versioni fake per Android di FaceApp finalizzate alla distribuzione di pubblicità aggressiva.

Relativamente alle minacce informatiche, diamo notizia di due ondate di infezioni imputabili rispettivamente al ransomware GuessWho e DoppelPaymer, un cryptolocker derivato dal codice di BitPaymer. Poiché però ancora oggi vengono tracciate operazioni basate sulla vecchia versione del ransomware, i ricercatori ritengono possibile che una parte del team di sviluppo di questa minaccia, noto in rete come INDRIK SPIDER, abbia deciso di mettersi in proprio e di gestire le nuove campagne separatamente.

Numerose le minacce diffuse poi dall’attore financially-motivated identificato come Hastur (o TA544). A partire infatti dal 2017, Hastur avrebbe colpito più volte sia in Italia che in Giappone (ma saltuariamente anche in Germania, Polonia e Spagna) con popolari malware quali Ursnif, Panda Banker, Chtonic, Smoke Loader, Nymaim, Zloader e URLZone.

Scoperta infine una nuova backdoor per ambienti Linux associata al gruppo russo Gamaredon: si tratta di EvilGnome, un implant in grado di fare keylogging, registrare audio, fare screenshot, rubare file e scaricare ulteriori moduli. Poiché la minaccia non mira ai server ma agli utenti della versione desktop di Linux, che rappresentano non più del 2% del mercato, la scelta dei suoi creatori appare motivata dalla volontà di colpire target molto specifici.

Sul fronte vulnerabilità, segnaliamo la pubblicazione di un exploit per una vulnerabilità di Crowd e Crowd Data Center di Atlassian. La falla sfruttata, CVE-2019-11580, dipende dal fatto che il plugin di sviluppo pdkinstall è stato erroneamente abilitato nelle versioni rilasciate. Consente di installare plugin arbitrari ed eseguire codice da remoto sui sistemi vulnerabili.

Scoperto e risolto anche un grave bug di Lenovo che esponeva oltre 3 milioni di file archiviati su migliaia di dispositivi NAS (net-attached storage): si tratta di una information disclosure identificata con CVE-2019-6160.
 
A rischio anche gli utenti di social e piattaforme di messaggistica: sono infatti state scoperte vulnerabilità sia in Instagram che in WhatsApp e Telegram. Nel primo caso, si tratta di una falla critica che avrebbe consentito ad un attaccante di compromettere qualsiasi account Instagram senza bisogno di alcuna interazione con l’utente abusando del meccanismo di recupero password implementato per la versione mobile. Nel caso delle piattaforme di messaggistica, è stato sperimentato un nuovo tipo di attacco battezzato “FileMedia Jacking” che consente ad un’applicazione malevola presente su un device di intercettare e manipolare i file multimediali come foto, documenti e video per operare in modo fraudolento.

Non mancano poi le segnalazioni di data breach di grandi dimensioni: in particolare sono state rubate informazioni personali appartenenti ad oltre 5 milioni di cittadini bulgari successivamente inviate ad alcuni media locali. I dati provenivano dalla National Revenue Agency (NRA) del Paese, un Dipartimento del Ministero delle Finanze, dal Dipartimento di registrazione civile e servizi amministrativi (GRAO) e dell’Agenzia Doganale bulgara. Il breach sembra sia stato rivendicato da un individuo che ha rielaborato una citazione del fondatore di WikiLeaks, Julian Assange.
 
Colpita da un breach anche la compagnia di telecomunicazioni statunitense Sprint Nextel Corporation. In questo caso, gli attaccanti si sarebbero procurati le credenziali di accesso agli account attraverso la funzione “add a line” di un sito web di Samsung che consente di aggiungere al proprio piano una nuova linea di servizio.
 
Concludiamo la rassegna menzionando un furto milionario subito dalla piattaforma per lo scambio di criptomoneta con base in Giappone Remixpoint. La compromissione ha consentito agli attaccanti di sottrarre dall’exchange oltre 32 milioni di dollari convertiti in diversi tipi di moneta virtuale, dal Bitcoin, all’Ethereum e al Ripple.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi