Weekly Threats N. 45 2019

Questa settimana è stata resa nota l’operazione Darknet condotta dal Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza di Roma si è conclusa con l’arresto degli amministratori del Berlusconi Market, attivo da tempo nel dark web, e ora offline.
Il market offriva servizi “Bank Drops”, cioè transazioni finanziarie (anche in valuta elettronica) conto terzi, documenti di identità nazionali ed esteri, farmaci e sostanze stupefacenti, armi, software malevoli fra cui botnet, malware, exploit, tool per il controllo remoto e servizi VPN, il tutto per un giro di affati annuo di oltre 2 milioni di euro.

Nel panorama APT, due sono le notizie che riguardano il gruppo nordcoreano Lazarus: in primis sono state tracciate due nuove backdoor associabili all’APT, realizzate per colpire sistemi Windows e macOS. Inoltre, è stata individuata una sofisticata operazione di spear phishing che ha preso di mira numerose realtà in tutto il mondo tra cui Russia, Cina, India e Sudest asiatico, Polonia, Stati Uniti e Italia. Emerge poi una nuova backdoor associata al gruppo cinese Platinum, chiamata Titanium; la minaccia, che ha colpito nel Sud-est asiatico, ha uno schema di infiltrazione particolarmente complesso e si nasconde imitando legittimi software antivirus, driver audio e strumenti per la creazione di video DVD.

Esaminando il celebre leak Lost in Traslation – degli Shadow Brokers – ricercatori di sicurezza hanno scoperto uno script in grado di rilevare le compromissioni attribuibili, fra gli altri, a un vecchio APT battezzato DarkUniverse e associabile a una sezione del gruppo chiamato ItaDuke, responsabile di campagne contro gli Uiguri ma anche contro entità dei settori civili e militari in Siria, Iran, Afghanistan, Tanzania, Sudan, Russia, Bielorussia ed Emirati Arabi Uniti.

Sul verante minacce segnaliamo che il sito di PEXSuperstore, un grosso rivenditore di materiale idraulico, ha subito contemporaneamente due compromissioni, entrambe dovute a gruppi che ricadono nella galassia Magecart. Le violazioni sono state perpetrate con due skimmer dal comportamento differente ma sfruttati con il medesimo scopo: quello di ottenere i dettagli delle carte di pagamento dei clienti del portale.
Inoltre, citiamo questa settimana anche due ransomware: il primo è Ryuk, del quale è stata identificata una nuova variante che dispone di funzionalità inedite che consentono l’identificazione di host nella rete LAN (Local Area Network). Il secondo è il più recente Buran, commercializzato dallo scorso maggio su un forum underground russo e distribuito principalmente tramite l’exploit kit RIG sfruttando la vulnerabilità CVE-2018-8174.
Infine è stato scoperto un nuovo exploit kit identificato come Capesand e associato ai malware DarkRAT e njRAT. Gli exploit che sfrutta sono per le seguenti vulnerabilità: CVE-2018-4878 e CVE-2018-15982 (di Adobe Flash), CVE-2018-8174, CVE-2019-0752 e CVE-2015-2419 (di Internet Explorer).

Fra le vulnerabilità, spicca questa settimana una falla senza CVE riscontrata nelle versioni 2016 e 2019 di Office per macOS. Il problema consiste nel fatto che l’opzione “Disable all macros without notification” abilita macro XLM contenute in file SYLK (SYmbolic LinK) direttamente, senza che l’utente ne sia informato. Ciò consente ad un eventuale attaccante remoto non autenticato di eseguire codice arbitrario con i privilegi dell’utente preso di mira inducendolo ad aprire file Microsoft Excel manipolati ad hoc.
Infine, sono stati rilasciati alcuni bollettini di sicurezza fra cui quelli Joomla!, Android, NVIDIA e CISCO ed è stata resa nota la correzione di una falla di libarchive con impatto su diverse distribuzioni Linux (CVE-2019-18408).

Concludiamo la rassegna di questa settimana con due azioni hacktiviste realizzate per la ricorrenza del 5 Novembre – data della Congiura delle Polveri che ha prodotto la maschera di Guy Fawkes divenuta celebre col film V per Vendetta. La prima è stata lanciata da Anonymous Italia contro vari enti compiendo defacement e/o esponendo informazioni sensibili. Fra i portali interessati compaiono quello della Camera dei deputati, delle Pari Opportunità delle Marche, un portale legislativo del Friuli Venezia Giulia, l’IGI (Istituto Grandi Infrastrutture), l’Ordine degli Avvocati di Grosseto, di Arezzo e di Perugia, l’UDAI Avvocati di Bari, l’Istituto Nazionale Tributaristi, la Prefettura di Napoli, l’ANPS (Associazione Nazionale Polizia di Stato), l’Associazione Visuristi Italiana. L’altra, firmata dal collettino LulzSecITA, si è concretizzata nel rilascio di dati provenienti dai sistemi dell’operatore mobile Lycamobile. Stando a quanto rivendicato, i dati resi pubblici sarebbero solo una piccola parte del materiale di cui sono entrati in possesso e comprenderebbero carte di identità, passaporti, patenti ecarte di credito dei clienti dell’operatore.

[post_tags]