WEEKLY THREATS

Weekly Threats N. 37 2019

13 Settembre 2019

La settimana che sta per concludersi, sul versante italiano è stata segnata da minacce ormai note come il trojan bancario Ursnif, il RAT NanoCore, sLoad e GootKit che vengono distribuite da campagne di email malevole, talvolta anche di tipo PEC (posta elettronica certificata).
Novità invece si segnalano a livello internazionale, con un malware che gli analisti hanno associato al ransomware Ryuk; i due condividono porzioni sostanziali di codice, ma non le finalità principali, poiché il più recente – di cui molto ancora resta da scoprire – ha funzioni di infostealer.

Novità anche nel panorama APT: questa settimana sono state infatti registrate numerose campagne condotte da gruppi state-sponsored in tutto il mondo.
Fra queste segnaliamo brevemente le seguenti: Bitter – di matrice indiana – ha colpito target pachistani, l’APT emiratino Stealth Falcon ha sfruttato una nuova backdoor che ha mietuto vittime in Olanda, Tailandia, Arabia Saudita ed Emirati Arabi Uniti, e infine l’operazione Autumn Aperture, condotta dal gruppo nordcoreano Kimsuki che ha preso di mira enti statunitensi con documenti trojanizzati relativi al programma sottomarino nucleare della Corea del Nord e a sanzioni economiche nordcoreane. Alcuni dei documenti utilizzati per questa campagna non sono di recente produzione, ma sono stati aggiornati con una nuova feature il cui script è stato nascosto impacchettandolo in un formato file piuttosto desueto: il Kodak FlashPix (FPX), raramente individuato dai più comuni antivirus.

Sette giorni ricchi di eventi sul versante vulnerabilità. Il team del framework Metasploit ha rilasciato un exploit pubblico per la nota vulnerabilità di Windows BlueKeep (identificata con CVE-2019-0708). Al momento però l’exploit non supporta il targeting automatico, ma è l’utente che deve specificare manualmente i dettagli del target prima di tentare uno sfruttamento.

Inoltre, si è parlato di una criticità delle SIM card – ribattezzata Simjacker – che consentirebbe di prendere il controllo dei dispositivi target inviando un semplice un SMS. Il problema coinvolgerebbe “S@T Browser” una componente del STK che serve a fornire ai clienti servizi di base, sottoscrizioni e altri servizi over-the-air. Grazie ad un unico SMS malevolo, un attaccante potrebbe rubare informazioni di sistema, distribuire malware, lanciare attacchi DoS e molto altro. Per la problematica, che sembra impattare tutti i modelli di telefoni mobili, non è ancora disponibile una patch nonostante esisterebbero prove che una compagnia di sorveglianza se ne sta servendo da oltre due anni per conto di entità governative.

Diamo notizia infine del rilascio di numerosi bollettini di sicurezza tra cui Siemens, Google, Microsoft, Adobe, SAP, Netgear, Intel, Delta Electronics, LibreOffice, Telegram, WordPress e Chrome. Fra questi spicca il Patch Day di settembre di Microsoft, grazie al quale sono stati corretti anche due 0-day già sfruttati in attacchi reali: CVE-2019-1215, di tipo elevation of privilege, già visto in azione sia sui più recenti che sui più obsoleti sistemi operativi, e CVE-2019-1214, sempre di tipo Elevation of Privilege, monitorato per ora solo su sistemi operativi datati come ad esempio Windows 7.

Chiudiamo la nostra rassegna del venerdì con due importanti operazioni di polizia che hanno portato all’arresto e all’incriminazione di cybercriminali internazionali.
Sono coinvolte anche le Forze dell’Ordine italiane nella vasta operazione internazionale condotta dall’FBI contro un articolato gruppo dedito alla frode nota come BEC (business email compromise). “Operation reWired“, così è stata battezzata, ha visto la partecipazione di Francia, Regno Unito, Turchia, Nigeria, Ghana, Kenya, Malesia, Giappone e ha portato all’arresto di 281 individui (dei quali 161 in Nigeria e 34 negli USA), alla confisca di 3,7 milioni di dollari e al blocco di bonifici interbancari per una somma complessiva di 118 milioni.

Infine, negli Stati Uniti giunge a una conclusione parziale l’indagine a carico del gruppo Anunak, alias FIN7; uno dei suoi componenti, tratto in arresto insieme ad altri individui lo scorso anno, ha riconosciuto la propria colpevolezza in merito a 2 capi di accusa su 26, ammettendo di essere stato amministratore di sistema di varie campagne di frode finanziaria; ora la condanna potrebbe raggiungere un massimo di 25 anni di detenzione.

[post_tags]