Questa settimana utenti italiani sono stati colpiti da una variante del trojan bancario per Android Anubis, distribuito tramite false fatture di Enel Energia. Inoltre è stato tracciato un nuovo attore, identificato come TA2101, che ha colpito utenti sempre in Italia, oltre che in Germania e negli Stati Uniti: nel caso italiano, sono stati inviati messaggi falsamente provenienti dall’Agenzia delle Entrate per diffondere il ransomware Maze.

Sul piano internazionale, sono stati attivi due gruppi state-sponsored iraniani: APT33 ha lanciato campagne estremamente mirate contro organizzazioni in Medio Oriente, Stati Uniti e Asia utilizzando circa una dozzina di server C&C offuscati a più livelli; l’altro gruppo di Teheran, OilRig (APT34), ha invece diffuso una variante del malware BONDUPDATER, uno script in Powershell che viene eseguito in modo silente da uno script in Visual Basic e che dispone di funzionalità che gli garantiscono la persistenza.
L’APT russo Gamaredon ha incrementato le proprie attività per colpire target localizzati in Ucraina attraverso una campagna di spear-phishing con documenti che facevano riferimento alla cyber security nel settore dell’industria agricola e che distribuivano allegati malevoli contenenti un VBScript che consentiva di stabilire persistenza nei sistemi colpiti.
In Messico, la compagnia petrolifera Pemex è stata vittima di un attacco ransomware che ha messo offline parte del suo network; per sferrare l’attacco, gli attaccanti hanno sfruttato DoppelPaymer – una versione fork di BitPaymer – solitamente utilizzata dal noto attore financially-motivated TA505.
Un nuovo ransomware as-a-service, denominato PureLocker, è stato sfruttato in attacchi mirati contro server di produzione e imprese. Scritto in PureBasic, ne esiste una versione per Windows e una per macchine OS Linux; la minaccia sembra essere collegata alla backdoor more_eggs, già sfruttata da gruppi come Cobalt Gang e FIN6.

Quanto alle vulnerabilità, nel proprio bollettino di sicurezza Microsoft ha risolto 74 falle relative a diversi prodotti, una delle quali già stata sfruttata in the wild: si tratta di CVE-2019-1429 ed è di tipo memory corruption.
Sono state poi rilevate due gravi vulnerabilità CPU, soprannominate TPM-Fail e identificate con CVE-2019-11090 e CVE-2019-16863, che permettono di recuperare chiavi crittografiche protette all’interno di chip TPM prodotti da STMicroelectronics o TPM Intel basati su firmware.
Rilasciati anche i bollettini di sicurezza di Adobe, VMware e Fortinet, che ha risolto un problema di information disclosure (CVE-2019-15704).

Infine, fonti giornalistiche hanno riportato la notizia secondo cui il Partito Laburista inglese avrebbe reso noto di avere subito un attacco su larga scala pensato per colpire una delle sue piattaforme digitali, probabilmente un DDoS che – stando a quanto dichiarato – non sarebbe comunque andato a buon fine.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi