Weekly Threats N. 30 2019

Questa settimana sono due le campagne malevole che segnaliamo in Italia: la prima ha preso di mira utenze email della Pubblica Amministrazione con il RAT JasperLoader e il trojan bancario Gootkit, la seconda ha distribuito a privati e professionisti la minaccia sLoad tramite posta certificata (PEC).

Sul piano internazionale si delineano due grandi blocchi di attività che vedono coinvolte Cina e Russia. Numerose sono infatti le notizie dal fronte cinese: innanzitutto il team di ricercatori Intrusion Truth ha pubblicato diversi dettagli riguardanti i rapporti che intercorrono fra gli APT cinesi e il Ministry of State Security (MSS). Il gruppo è infatti riuscito a risalire ai nomi di quattro compagnie e di alcuni individui che sono probabilmente collegati all’attività del Ministero. Uno di questi,  Zeng Xiaoyong noto in rete come Envymask, sarebbe l’autore del noto exploit MS08-067 per i sistemi operativi cinesi utilizzato in numerosi attacchi reali. Il team ha inoltre provato a dimostrare come il tool ZoxRPC, utilizzato per sfruttare la vulnerabilità di cui sopra e probabilmente sviluppato dallo stesso Envymask, sarebbe stato trasformato in ZoxPNG, una minaccia sfruttata dall’APT Axiom (alias Winnti, DeputyDog), un gruppo in cui sarebbe operativo anche un dirigente dell’MSS. Le indagini su Axiom, sempre condotte da Intrusion Truth, hanno poi permesso di scoprire che è stato recentemente messo in vendita un pacchetto di dati sensibili raccolto durante varie campagne in tutto il mondo.

Ma non finisce qui: un altro ricercatore indipendente ha tracciato una campagna condotta sempre da Axiom contro target vietnamiti e basata su un documento RTF già visto in passato in mano ad altri gruppi di matrice cinese come Hellsing e Icefog.

Cambiamo settore, ma rimaniamo sempre nell’area della Repubblica Popolare. Al gigante delle telecomunicazioni Huawei, già nell’occhio del ciclone da tempo, sono state rivolte nuove accuse. Lunedì scorso, un’emittente radiofonica statale della Repubblica Ceca ha infatti reso noto che il distaccamento ceco della compagnia avrebbe raccolto segretamente i dati personali di clienti, funzionari e partner commerciali, alimentando le preoccupazioni sui rischi per la sicurezza legati al gruppo cinese.

Inoltre, secondo quanto riportato dalla testata statunitense Washington Post, il colosso di Shenzhen starebbe segretamente portando avanti il progetto per costruire l’infrastruttura wireless della Corea del Nord; ciò, in violazione delle sanzioni internazionali che ancora gravano su Pyongyang a causa del programma nucleare e di problemi relativi al rispetto dei diritti umani.

Passando al panorama russo, sono state monitorate le attività di due minacce, identificate come Monokle e Karagany. La prima è un sofisticato tool di sorveglianza realizzato dalla Special Technology Center (STC), una compagnia impegnata nel settore della difesa e fornitrice di prodotti ed equipaggiamenti per il Governo di Mosca. È pensato principalmente per esfiltrare dati tramite funzionalità di vario tipo tra cui keylogging, fingerprinting, screenshot, registrazione di chiamate e messaggi. Al momento è stata utilizzata solo la versione per Android ma ci sono evidenze dell’esistenza di una versione per iOS. Monokle viene distribuito tramite un numero limitato di applicazioni, perlopiù app trojanizzate con funzionalità parzialmente legittime. I suoi target principali sono singoli individui localizzati nella regione del Caucaso e interessati, fra l’altro, alle questioni riguardanti il gruppo militante siriano Ahrar al-Sham oppure utenti dell’applicazione “UzbekChat” che si rivolge a paesi dell’Asia centrale e dell’Uzbekistan.

La seconda minaccia si chiama Karagany e appartiene all’arsenale dell’APT russo Energetic Bear, noto per aver colpito più volte compagnie del settore energetico e le organizzazioni che le finanziano sia negli Stati Uniti che in Europa. Si tratta in particolare di un RAT dotato di diversi moduli e plugin che gli assicurano feature di vario genere: in questo caso il fine degli attaccanti è quello di esfiltrare informazioni sensibili utilizzabili per predisporre eventuali operazioni di sabotaggio.

 Sul fronte vulnerabilità, segnaliamo questa settimana i bollettini di sicurezza di Apple – che correggono numerosi bug in molti prodotti – e di Comodo che risolve cinque falle.

Ci sono novità importanti, però, riguardo alla falla CVE-2019-0708 che affligge il servizio RDP di vecchie versioni di Windows e ribattezzata BlueKeep. Innanzitutto, è stato aggiunto uno scanner per questa vulnerabilità alla minaccia per Linux Watchbog, lasciando supporre che i suoi operatori abbiano intenzione di estendere le proprie attività anche ad altre piattaforme. Inoltre, una firma di sicurezza statunitense ha messo sul mercato una versione del toolkit per penetration testing CANVAS (v7.23) che contiene un exploit proprio di BlueKeep. Diversamente da quelli pubblicati fino ad ora su GitHub, che permettavano di indurre il crash da remoto a sistemi Windows con servizi RDP esposti online, l’exploit presente in CANVAS consentirebbe di eseguire codice da remoto e quindi, potenzialmente, aprire una shell sugli host infetti.

Concludiamo con una singolare compromissione che ha interessato Scotland Yard: attori non identificati hanno infatti violato il profilo Twitter e la mail della Polizia Metropolitana di Londra e cominciato a pubblicare una serie di messaggi non autorizzati. Secondo quando dichiarato dal quartier generale, l’azione non avrebbe interessato l’infrastruttura IT interna ma sarebbe stata limitata al servizio dell’ufficio stampa, MyNewsDesk, attraverso il quale vengono pubblicati i comunicati online.