Weekly Threats N. 43 2019

25 Ottobre 2019

Continua anche questa settimana la diffusione di Jasper Ransomware che va a colpire ancora una volta in Italia e in particolare tramite email di phishing che fanno riferimento all’AGID (l’Agenzia per l’Italia digitale) e all’INPS (Istituto Nazionale Previdenza Sociale).
Sempre nel panorama crime emerge poi un nuovo ransomware, già rilevato in-the-wild: si tratta di Medusa, una minaccia di cui non si conosce ancora il metodo di distribuzione.

Sul versante APT segnaliamo almeno tre campagne condotte da gruppi sponsorizzati dal Governo di Mosca. Partiamo con l’APT Sofacy (Fancy Bear), che sembra aver recentemente lanciato una campagna contro gli impiegati di una grande compagnia mineraria con base in Kazakistan. Seguono le novità introdotte da Turla, che ha fatto uso degli implant Neuron e Nautilus – quasi certamente sviluppati da attori iraniani – senza che gli autori ne fossero a conoscenza; i target di questa attività sono distribuiti per la gran parte in Medio Oriente e comprendono ambienti militari, dipartimenti governativi, organizzazioni scientifiche e università.
Infine, la polizia ceca e i servizi di intelligence hanno dichiarato di aver smantellato una rete di spionaggio russa che operava attraverso l’ambasciata con sede a Praga.
Giungono notizie anche dal Medio Oriente, dove torna a far parlare di sé una campagna di lungo corso ribattezzata BadPatch, un’operazione di spionaggio diretta contro target palestinesi. Non è certo chi si celi dietro tali attacchi, ma le tecniche utilizzate e i target prescelti fanno pensare a un coinvolgimento del gruppo Gaza Cybergang (Molerats).
Attori strutturati e dall’ampia disponibilità economica sono senz’altro anche quelli che convergono nella galassia di Magecart, sebbene in questo caso i gruppi ricadano nella categoria financially-motivated. Numerose analisi hanno perciò tentato di stabilire un’attribuzione: al momento è stata paventata una corrispondenza fra il gruppo 5 e il team russo Anunak (alias Carbanak), mentre il gruppo 4 potrebbe essere identificato con Cobalt Gang e il gruppo 6 con il collettivo cyber-crime FIN6.

Segnaliamo poi che una campagna di phishing ha recentemente preso di mira organizzazioni non governative in tutto il mondo. Fra queste compaiono la Croce Rossa e l’Unicef insieme ad altre organizzazioni umanitarie della Nazioni Unite. Per quanto riguarda l’attribuzione, per il momento non sono state rese note ipotesi di alcun genere.

Numerosi i bollettini di sicurezza rilasciati negli ultimi giorni: fra questi segnaliamo WordPress, Aveva, Horner Automation, Schneider Electric che ha corretto tre vulnerabilità critiche (CVE-2019-6823, CVE-2019-6824 e CVE-2019-6825), Mozilla Firefox (anche in questo caso è stata risolta una falla critica, CVE-2019-11764, di tipo memory safety), Google Chrome, OpenSBD e VMWare. TrendMicro corregge una vulnerabilità ad alto impatto che affligge il prodotto di sicurezza Anti-Threat Toolkit: si tratta di un bug di tipo RCE identificato con CVE-2019-9491.
Rendiamo noto tra l’altro che sono state riscontrate delle vulnerabilità per cui non sono disponibili patch nelle tastiere wireless di Fujtsu e nel browser gratuito cinese Maxthon.

Guai per i sistemi di molte compagnie di spicco, che sono state coinvolte in data breach o attacchi di tipo (DDoS, distributed denial of service). Il provider di connessione anonima NordVPN, dopo la diffusione di voci ufficiose riguardanti una possibile compromissione, ha confermato che nel 2018 si è verificato un accesso non autorizzato ad uno dei data center decentrati in Finlandia dei quali la compagnia affitta i server. L’attaccante ha sfruttato un sistema di management remoto insicuro della cui esistenza NordVPN sembra non fosse al corrente.
Anche i sistemi della compagnia di sicurezza informatica ceca Avast hanno subito una compromissione con focus su CCleaner. Le analisi hanno messo in luce una campagna “supply chain” particolarmente sofisticata cui è stato attribuito il nome “Abiss”, il cui scopo era quello di ottenere le credenziali di un utente successivamente sfruttate per scalare i privilegi.
Un database ElasticSearch insicuro associato al sistema di prenotazioni Autoclerk – acquisito quest’anno dalle catene Best Western Hotel e Resort Group – ha esposto i dati di viaggio di migliaia di persone. Le informazioni – un totale di 179 GB – riguardano circa 100.000 prenotazioni di viaggio o alberghiere e fra gli utenti coinvolti compaiono anche impiegati del settore governativo e appartenenti alle Forze Armate USA.
Chiudiamo la nostra rassegna con un incidente che ha impattato Amazon; il gigante dell’e-commerce ha confermato via Twitter che AWS (Amazon WebServices) è stato preso di mira da un attacco di tipo Distributed Denial of Service (DDoS), verificatosi nella giornata del 22 ottobre, che ha causato disservizi per circa 8 ore.

[post_tags]

Abiss Anunak BadPatch CVE-2019-11764 CVE-2019-6823 CVE-2019-6824 CVE-2019-6825 Jasper Ransomware Magecart Medusa Molerats Nautilus Neuron Sofacy Turla

Contenuti correlati

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Malware inediti utilizzati contro entità ucraine, attività state-sponsored in Asia, le ultime sulle vulnerabilità Ivanti

DDoS e ransomware colpiscono l’Italia, smantellata una botnet del russo Sofacy, notificate vulnerabilità sfruttate ITW