Weekly Threats N. 41 2019

Proseguono anche questa settimana le campagne malware che colpiscono utenti italiani. Numerose le operazioni di distribuzione di Emotet e Ursnif e fa la sua comparsa anche Hancitor, di cui non si avevano notizie da quasi un mese.
Continua a far parlare di sé anche Jasper Ransomware, di cui è stata recentemente tracciata una nuova versione, che questa settimana arriva tramite account PEC colpendo principalmente la Pubblica Amministrazione.
Nel mirino del cyber-crime anche le caselle di posta elettronica certificata di utenze iscritte a ordini professionali e strutture sia pubbliche che private in Italia. Sembra infatti che una campagna abbia sfruttato circa 500 account PEC compromessi per inviare oltre 250.000 email malevole; al momento però, non venendo distribuita alcuna minaccia, resta da chiarire se si tratti di un primo step di profilazione o di un errore dell’attaccante.

Sul versante internazionale segnaliamo la scoperta di una nuova piattaforma di cyber-spionaggio utilizzata contro utenti in missioni diplomatiche e istituzioni governative. Tale piattaforma, ribattezzata Attor, viene impiegata dal 2013 per operazioni altamente mirate allo scopo di esfiltrare informazioni sulle attività del target, tant’è che monitora i processi attivi per acquisire schermate delle applicazioni selezionate. Oltre alla Russia, fra i principali target compaiono utenti provenienti da alcuni Paesi dell’Est Europa come Ucraina, Slovacchia, Lituania e Turchia. Da notare che oltre alla specificità geografica, Attor punta ad utenti che appaiono particolarmente interessati alla loro privacy.
Sempre nell’area dell’ex-Unione Sovietica, è stato utilizzato un sito web fraudolento che si spaccia per quello legittimo del Russian Federal Bailiffs Service (FSSP) per distribuire il malware Siggen, un trojan in grado di sottrarre informazioni di vario genere dal dispositivo della sua vittima.
Inoltre, ricercatori di sicurezza hanno pubblicato un report per spiegare nel dettaglio in che modo è stato scoperto l’APT SandCat, un gruppo di matrice uzbeca che costituisce una delle sezioni dell’agenzia di intelligence State Security Service (SSS) del Paese ed è considerato il responsabile di una serie di attacchi condotti, fra gli altri, contro gli Stati Uniti.
Anche il gruppo state-sponsored di matrice iraniana Charming Kitten ha recentemente condotto operazioni contro target statunitensi. È stata infatti tracciata una campagna durante la quale l’APT ha tentato in vari modi di ottenere informazioni sugli account di oltre 2.700 fra politici USA, individui espatriati dall’Iran e giornalisti. Dopo la fase di ricognizione, il gruppo avrebbe lanciato attacchi a 241 di questi e compromesso quattro account fra agosto e settembre 2019. Per far ciò, gli attaccanti si sono serviti di mail di spear phishing e di SMS inviati direttamente al dispositivo privato delle vittime.
Parliamo ancora di Iran, ma stavolta come vittima di attacchi: è stato infatti scoperto un APK malevolo il cui nome è “Ciro il Grande” (il fondatore dell’Impero Persiano) pensato per prendere il controllo di dispositivi appartenenti ad utenti di lingua persiana. L’applicazione è dotata di numerose feature che consentono di ottenere informazioni sul device target, di ricercare/cancellare/caricare file e stabilire la geolocalizzazione della vittima, fare foto e video, registrare SMS, chiamate e molto altro.
Spostandoci in Maghreb, segnaliamo la pubblicazione dell’ultimo report di Amnesty International nel quale si descrivono nel dettaglio alcuni attacchi mirati contro due noti attivisti per i diritti umani marocchini. Gli attaccanti hanno tentato di infettare i device di entrambi con il noto spyware Pegasus, prodotto dalla società israeliana NSO Group. Secondo i ricercatori che hanno scoperto la campagna, è probabile che il loro mandante sia da ricercare negli ambienti governativi dello Stato del Marocco.
Infine, ci sono evidenze di un’operazione di spionaggio condotta dall’APT cinese Mustang Panda contro organizzazioni governative, ONG, think tank ed enti culturali in Mongolia, Vietnam, Pakistan, Birmania e Germania.

Questa settimana segnaliamo tre vulnerabilità particolarmente significative: in primis una falla 0-day di Bonjour, un componente poco noto che viene fornito in bundle con il software Apple iTunes e iCloud per Windows, sfruttato da attori non identificati per lanciare un attacco ransomware (BitPaymer) contro un’impresa del settore automobilistico.
Proseguiamo con un bug che affligge la popolare piattaforma di messaggistica Signal Messenger nella versione per Android. La falla consentirebbe a un attaccante di forzare la risposta a una chiamata audio senza bisogno di alcuna interazione con la vittima. In altre parole, può essere sfruttata per accendere il microfono del device di un utente Signal e ascoltarne le conversazioni.
È stata inoltre scoperta una falla critica RCE che affligge iTerm2 macOS Terminal Replacement, una delle più popolari sostituzioni open source per l’app terminal integrata di Mac. Se sfruttato, il bug potrebbe consentire a un utente malintenzionato di eseguire comandi arbitrari fornendo output dannoso al terminale.
Diamo infine comunicazione del rilascio di numerosi bollettini di sicurezza, schedulati e non, che hanno interessato Android, Microsoft, Apple, Siemens, Schneider Electric, General Electric, SAP, Juniper Networs e Intel.

Concludiamo con due azioni hacktiviste riguardanti l’Italia. La prima, firmata Anonymous, ha colpito con defacement e data breach diversi portali regionali del Partito Democratico. La seconda, opera di LulzSec_ITA, si è concretizzata in un defacement del sito del “Comitato sovranisti e conservatori – Giorgia Meloni”; la rivendicazione è apparsa sul profilo Twitter del gruppo.