Weekly Threats N. 42 2019

Non accennano a diminuire le campagne malware che colpiscono ogni settimana in Italia: in particolare si sono susseguiti attacchi basati sulle minacce Jasper Ransomware, LokiBot, Ursnif, NanoCore e Emotet. Inoltre è stata rilevata una campagna di phishing che sfrutta il brand di Aruba e quello di Banca Sella raggiungendo anche utenze della Pubblica Amministrazione.

Nel panorama internazionale, segnaliamo che la galassia di gruppi cinesi nota come Axiom ha arricchito il suo arsenale con la backdoor PortReuse, un impianto di network passivo che non blocca il traffico legittimo del sistema compromesso. Questo tool viene utilizzato principalmente per infiltrare le reti target mentre, per il secondo stadio dell’infezione, continua a essere distribuito Winnti e – in un eventuale terzo stadio – il miner XMRig.
Restiamo in Cina per parlare dei retroscena che fanno da sfondo alla costruzione dell’aereo Comac C919. È emersa infatti una delle operazioni di hacking più ambiziose mai condotte da Pechino allo scopo di acquisire proprietà intellettuale altrui per ridurre il suo divario tecnologico nel settore dell’aviazione e in particolare di agevolare Comac, un produttore aerospaziale statale, nella costruzione del proprio aereo di linea C919. Per far ciò è stata lanciata una campagna coordinata pluriennale che ha sistematicamente monitorato e compromesso i sistemi delle compagnie straniere fornitrici dei componenti per il suddetto velivolo. Secondo quanto emerso finora, nella campagna sarebbero coinvolti anche Ministero per la Sicurezza dello Stato (MSS) e l’Ufficio Jiangsu (MSS JSSD). Una volta compromessa la rete, gli attori (Emissary Panda) distribuivano malware come PlugX e Winnti ma soprattutto una minaccia custom identificata come Sakula, utilizzata per cercare informazioni proprietarie ed esfiltrarle su server remoti.

Ci spostiamo ora in Sudamerica per parlare del gruppo di matrice colombiana conosciuto come El Machete. Target di questo APT sono i settori militare, politico e diplomatico di Messico, Cuba, Nicaragua, Ecuador, Venezuela, Cile, Bolivia, Brasile. Le nuove operazioni del gruppo, attivo ormai da anni, non hanno visto modifiche né dal punto di vista dei tool né da quello dell’infrastruttura, ma continuano a colpire numerose realtà. El Machete si serve infatti dell’omonimo malware, distribuito con diverse tecniche, il cui scopo principale è quello di sottrarre informazioni di vario genere.

Sul versante russo, invece, sono state ricostruite le attività condotte dal gruppo filogovernativo russo APT29, alias The Dukes, negli ultimi anni. Ribattezzate cumulativamente Operation Ghost, hanno preso di mira governi sia occidentali che dell’ex Unione Sovietica, ma anche organizzazioni connesse con la NATO, think tank e partiti politici; fra quelli accertati si segnalano tutti i Ministeri degli Affari esteri europei, l’Ambasciata di Washington DC e un Paese dell’Unione Europea. Per far ciò, i Duchi hanno impiegato quattro famiglie di malware di cui non si aveva ancora documentazione, vale a dire PolyglotDuke, RegDuke, FatDuke e LiteDuke; ad esse va aggiunta anche la già nota MiniDuke.

Anche il Medio Oriente torna alla ribalta, in linea con gli ultimi tragici sviluppi della guerra civile in Siria. Il gruppo Syrian Electronic Army (SEA), un ente non ufficiale che sostiene il governo di Assad, continua infatti a lanciare i suoi attacchi. Numerose anche le azioni relative a due gruppi collegati al SEA: Goldmouse Group (APT-C-27) e Pat Bear Group (APT-C-37). Il primo ha utilizzato principalmente due RAT multipiattaforma (AndroRat e SilverHawk) dotati di numerose feature per il cyber-spionaggio. Il secondo ha sfruttato invece attacchi watering hole per distribuire ad affiliati dell’IS un trojan in grado di rubare messaggi e dati da WhatsApp e da Telegram. Sono stati inoltre messi in campo tre RAT sempre allo scopo di monitorare le vittime e controllare i loro dispositivi (DroidJack, SpyNote e SSLove).

Sono state tracciate poi alcune nuove campagne riconducibili all’attore individuato con la sigla TA505. I target – che comprendono sia enti di piccole dimensioni che grandi istituzioni finanziarie – ora sono localizzati anche in Grecia, Germania e Georgia, oltre che a Singapore, negli Emirati Arabi Uniti e in Georgia, Svezia, Lituania, Canada. Oltre ai classici FlawedGrace, FlawedAmmyy e Snatch, il gruppo si avvale ora di un nuovo RAT identificato come SDBbot.

Concludiamo con la scoperta di due nuove minacce: in primis Graboid, un worm con funzione di cryptojacking che colpisce host Docker insicuri; segue Black Remote Controller PRO, un RAT commercializzato online e già utilizzato per oltre 2.000 tentativi di attacco.

Quanto alle vulnerabilità, segnaliamo questa settimana la pubblicazione di numerosi, e in alcuni casi voluminosi, bollettini di sicurezza tra cui quelli di Magento, WordPress, Nitro PDF Pro, Oracle, VMware, Adobe e Cisco.
Inoltre, sono state corrette due diverse falle che affliggono il sistema operativo Linux. La prima riguarda Sudo, una delle utility più importanti, potenti e di uso comune che viene fornita come comando principale installato su quasi tutti i sistemi operativi UNIX e basati su Linux (CVE-2019-14287). Il problema è di tipo security policy bypass e consentirebbe a un utente malintenzionato o a un programma di eseguire comandi di root su un sistema Linux di destinazione anche quando la configurazione non consente esplicitamente l’accesso root.
La seconda riguarda invece Cyberoam SSL VPN, un sistema sempre basato su Linux. La falla ( CVE-2019-17059) risiede nel modulo antivirus/antispam dell’email; un attaccante remoto non autenticato può avvalersene per eseguire comandi con privilegi root inviando richieste malevole alle console Web Admin o SSL VPN.

Infine riportiamo i risultati delle ricerche di ASIO, l’Organizzazione Australiana per la Sicurezza e l’Intelligence che ha presentato la sua relazione annuale al Parlamento. Nel rapporto, l’agenzia ha descritto il modo in cui LinkedIn e altre piattaforme social media vengono utilizzate per indirizzare le persone a posizioni di lavoro offerte da intelligence straniere e ne ha evidenziato i potenziali rischi.