Weekly Threats N. 32 2019

La settimana che si sta concludendo è stata segnata nel panorama italiano da campagne basate su minacce note e condotte con tecniche d’attacco ormai consuete. Email di phishing con allegati ZIP malevoli e incentrate sul tema di fantomatiche fatturazioni hanno raggiunto utenze aziendali e della Pubblica Amministrazione; le vittime sono state infettate con ibl RAT JasperLoader e il trojan Gootkit. Ancora email malevole sono state sfruttate per distribuire sLoad a organizzazioni e aziende, ma questa volta si tratta di PEC (posta elettronica certificata) contenenti link a risorse remote.

Più articolato risulta il versante internazionale. L’APT iraniano individuato come Hexane, alias OilRig e APT34, ha lanciato campagne mirate contro i sistemi di controllo industriali (ICS) di aziende con base in Kuwait e attive nei settori petrolifero, del gas e delle telecomunicazioni. L’Iran viene chiamato in causa anche da un articolo del Wall Street Journal che attribuisce ad attori state-sponsored di Teheran almeno 3 attacchi in Bahrain contro obiettivi sensibili come la National Security Agency, l’Autorità per acqua ed energia e la Aluminium Bahrain (alias Alba), tutti basati sul wiper Shamoon.

Sospetti si concentrano, poi, intorno all’APT cinese Stone Panda (alias APT10) in merito a un attacco di spear phishing tramite email che ha raggiunto compagnie statunitensi del settore delle utility fingendo comunicazioni dello US National Council of Examiners for Engineering and Surveying; gli attaccanti si sono avvalsi di una minaccia battezzata LookBack capace di esfiltrare dati ed eseguire comandi sulle macchine infettate.

Torna poi a colpire in America Latina il gruppo dedito al cyber-spionaggio che prende il nome dalla minaccia Machete. Sono ancora molte le ombre che si addensano su El Machete, un team presumibilmente ispanofono che attacca entità governative di Stati sudamericani e che sembra particolarmente interessato a documentazioni relative alle rotte di navigazione. Oltre a strategie di spear phishing, questo attore sembra adottare tecniche di compromissione come l’uso in situ di chiavette USB contenenti un modulo per l’esfiltrazione dei dati.

Non restano fuori dai giochi nemmeno i team della Corea del Nord: ScarCruft ha lanciato due nuove offensive e in un report del Comitato per le sanzioni del Consiglio di sicurezza dell’ONU sulla Corea del Nord viene ricostruita l’attività di procacciamento di fondi destinati al settore miliare che il Reconnaissance General Bureau (agenzia militare di intelligence) avrebbe affidato al settore cyber. Sono stati rilevati 35 tentativi di compromissioni ad exchange di criptovalute e istituti finanziari in 11 paesi che avrebbero fruttato almeno 2 miliardi di dollari.

Sul versante criminale continuano incessantemente le attività basate sui ransomware Sodinokibi, Clop, MegaCortex v2 e sul wiper che si finge ransomware GermanWiper. Ma segnaliamo in particolare due minacce, per la specifica selezione dei target che hanno adottato: il malware Varenyky, che colpisce solo gli utenti Orange della Francia, e la backdoor Sality, mirata contro le comunità cinesi degli Stati Uniti.

Quanto alle vulnerabilità, destano attenzione i seguenti fatti. È stato scoperto un bug 0-day di tipo command injection che affligge il framework KDE Plasma di Linux, presente di default su molte distribuzioni del sistema operativo tra cui Manjaro, openSUSE, Kubuntu e PCLinuxOS. Un ulteriore attacco speculativo side-chanel di tipo Spectre1, è possibile contro numerose CPU, fra cui tutte le Intel, (CVE-2019-1125).
Due nuove vulnerabilità affliggono il protocollo WAP3: una timing-based side-channel contro il sistema handshake Dragonfly (CVE-2019-13377) e una information disclosure nell’EAP-pwd di FreeRADIUS (CVE-2019-13456).

Chiudiamo la nostra rassegna settimanale con un fatto che pesa più sul lato crime che su quello cyber. Il Department of Justice americano ha emesso un mandato di arresto internazionale per il pachistano Muhammad Fahd. Il 34enne, per il quale è già stata autorizzata l’estradizione negli USA, avrebbe pagato ingenti somme di denaro ad impiegati infedeli della compagnia statunitense delle telecomunicazioni AT&T per installare codici malevoli nella rete aziendale al fine di sbloccare 2 milioni di dispositivi degli utenti. L’attività sarebbe perdurata dal 2012 al 2017 e avrebbe causato perdite per oltre 5 milioni di dollari.