Weekly Threats N. 47 2019

La settimana che si sta concludendo è stata segnata da una notizia tutta italiana. Un’operazione condotta dal CNAIPIC della Polizia di Stato ha consentito di individuare un uomo residente nella provincia di Imperia, consiederato uno dei responsabili di una serie di attività criminali condotte anche contro la Pubblica Amministrazione, numerosi Comuni e patronati, l’Agenzia delle Entrate, l’INPS, ACI e Infocamere. Il Cyber Intelligence Operation Center (CIOC) di TS-WAY, che ha rinominato questo attore Oorn, ha tracciato una prima campagna nel 2017 e ha poi collaborato alle attività di indagine che hanno ricostruito un vero e proprio sistema di servizi illeciti, il cui centro era il portale PEOPLE1. Il sessantaseienne, pregiudicato, è stato tratto in arresto.

Sempre nel nostro Paese proseguono le azioni hacktiviste di Anonymous Italia. Nel giro di un paio di giorni il gruppo ha messo a segno due data breach: il primo ai danni dei siti della Città di Foggia, della Protezione Civile – Regione Basilicata, dell’Assessorato alla Salute – Regione Sicilia e del TRAIL (Portale Nazionale dell infrastrutture di trasporto e logistica) di Unioncamere; l’altro contro i sistemi dell’ICE, l’Agenzia per la promozione all’estero e l’internazionalizzazione delle imprese italiane.

Torna a far parlare di sé l’individuo noto come Phineas Fisher – che ha realizzato il leak ai danni del gruppo italiano Hacking Team e della società tedesca Gamma Group – con una serie di attività. Nell’ambito di una sorta di bug bounty, pagherà fino a 100.000 dollari in bitcoin o Monero a chi condurrà attacchi motivati politicamente contro compagnie attive in vari settori o contro enti governativi, allo scopo di rendere pubblici documenti che rivestono un interesse per la collettività. Phineas ha poi rivendicato la violazione – poi confermata dalle vittime – dei sistemi della banca offshore Cayman Bank and Trust Company dell’Isola di Man.

Nel panorama crime internazionale emerge un nuovo attore identificato con la sigla TA2101, al quale si attribuiscono campagne in Germania, Stati Uniti ed Italia; in quest’ultimo caso sono state inviate mail falsamente provenienti dall’Agenzia delle Entrate che hanno distribuito il malware Maze. Non si arrestano, poi, le attività basate su script con funzioni di skimmer. Mentre i sistemi dei grandi magazzini statunitesi Macy’s sono stati infettati da uno script dell’ormai celebre costellazione di gruppi Magecart, è stata tracciata in the wild la nuova minaccia Pipka.

Sempre vivace il versante ransomware. Un malware di questa tipologia, di cui non si conoscono ulteriori dettagli, ha bloccato i sistemi della Louisiana. Oltre ai già noti FTCODE, Buran, Cyborg, negli ultimi giorni è stato scoperto anche NextCry, che cifra dati su server Linux NextCloud. E ancora, in continua mutazione anche il mondo delle minacce “tradizionali”. Continuano a colpire Agent Tesla, LokiBot, Ursnif; emergono novità come la backdoor ACBackdoor, il bancario Mispadu, il malware as a service Phoenix, la botnet Roboto. Nel frattempo, il portale ufficiale del Monero Project è stato compromesso per distribuire binari malevoli al posto di quelli legittimi.

Chiudiamo la rassegna con vulnerabilità e bollettini di sicurezza. Ricercatori hanno scoperto un’exploit chain che coinvolge due falle di Microsoft (CVE-2019-1405 e CVE-2019-1322) che permette di eseguire comandi con privilegi di amministratore su un sistema Windows 10. Whatsapp ha risolto un bug di tipo stack-based buffer overflowche consente di compromettere i dispositivi target, rubare i contenuti delle chat e i file multimediali in esse contenuti (CVE-2019-11931). Google ha confermato la presenza in Gmail di una vulnerabilità XSS che affligge la feature AMP4Email. Segnaliamo infine advisory schedulati e speciali per Siemens, Chrome, Moodle, Omron, Cisco, SAP, Docker e BIND.