Weekly Threats N. 50 2019

Questa settimana è stata rilevata in Italia un’ondata di malspam che sta sfruttando il brand di SDA/Poste Italiane; continuano poi a colpire minacce come Emotet e Ursnif (quest’ultima con due differenti campagne).
Segnaliamo inoltre che i sistemi della società per azioni italiana Iren, attiva nel settore energetico, sono stati messi offline a causa di un attacco ransomware che ha portato anche ad un importante blocco operativo.
Torna a colpire anche il collettivo hacktivista LulzSecITA che ha rivendicato sul proprio profilo Twitter la compromissione e il data breach del portale del SISTEN (sistema telematico notifiche preliminari) della Provincia di Lecce e della web agency con sede a Galatina (Lecce) 650Mb[.]com.

Sulla scena internazionale, è stata registrata un’operazione di spionaggio industriale condotta dal gruppo state-sponsored vietnamita APT32 (alias OceanLotus) che sembra abbia compromesso i sistemi del gigante dell’industria automobilistica BMW. Gli attaccanti avrebbero installato sui PC target il popolare framework Cobalt Strike al fine di rubare informazioni di vario genere, in particolare proprietà intellettuale.
Inoltre, è sotto monitoraggio una campagna attribuita al gruppo Gallium che colpisce i provider di telecomunicazioni in Europa, Sud-Est Asiatico e Africa. Gli attaccanti prendono di mira servizi esposti in rete non aggiornati sfruttando exploit pubblici ed installano poi sulle reti varianti custom di noti tool off-the-shelf, tra cui Mimikatz, HTran, NBTScan, PsExec, China Chopper, Poison Ivy e Gh0st RAT i quali consentono di lanciare azioni malevole di varia natura.

Numerose le notizie che coinvolgono da vicino la Russia. In primis, il Dipartimento del Tesoro USA ha rilasciato un comunicato stampa relativo alle indagini che hanno portato all’individuazione di alcuni possibili membri del gruppo Evil Corp, il team che ha gestito per molti anni campagne basate sul malware Dridex colpendo organizzazioni finanziarie e bancarie di almeno 40 Paesi. Ad Evil Corp apparterrebbero 17 individui guidati da Maxim Viktorovich Yakubets, che sembra aver collaborato con i Servizi di Mosca (FSB) e sul quale pende una taglia da 5 milioni di dollari del Governo USA.
Inoltre, l’Agenzia mondiale anti-doping (WADA) ha stabilito l’esclusione delle squadre nazionali russe da tutte le competizioni sportive internazionali per 4 anni. Tale decisione potrebbe ripercuotersi anche in ambito digitale dove sono più che probabili attività di incursione finalizzate a CNA da parte degli attori russi.
Segnaliamo poi che la piattaforma Reddit è stata sfruttata da un utente che si firma gregoratior per diffondere numerosi file relativi al Trade and Investment Working Group (TIWG). I documenti rilasciati proverebbero l’intenzione del Partito conservatore britannico di privatizzare il servizio sanitario nazionale (NHS) e di facilitarne l’acquisto da parte di entità degli Stati Uniti. La loro diffusione avrebbe avuto lo scopo di influenzare l’esito delle elezioni svoltesi in Inghilterra il 12 dicembre.
Secondo un’inchiesta di Forbes, sembra poi che siano stati compromessi gli account Telegram di almeno una dozzina di imprenditori russi. Gli attaccanti sarebbero riusciti a leggere i messaggi delle vittime rubando i codici segreti che vengono inviati agli smartphone degli utenti per autenticarsi, probabilmente violando un segmento della rete mobile conosciuto come SS7, la parte di infrastruttura che si occupa di spostare gli utenti fra le reti quando viaggiano all’estero.

Molte sono le campagne basate sui ransomware tra cui ricordiamo Jasper, Ryuk, LooCipher, Snatch e Zeppelin. Da notare anche che gli autori del noto trojan bancario TrickBot, membri del gruppo financially-motivated FIN6, stanno lavorando ad un nuovo progetto ribattezzato Anchor, basato su un framework di tool che ha integrato le risorse del panorama TrickBot e ne ha di fatto rivoluzionato le tecniche, tattiche e procedure sfruttate fino ad oggi. Anchor è stato realizzato per essere condiviso con soggetti terzi e può adattarsi alle diverse esigenze di attori che hanno come obiettivo entità di alto livello.

Sul versante vulnerabilità sono diverse le aziende che questa settimana hanno pubblicato il loro bolletino di sicurezza mensile, ma anche patch non precedentemente schedulate. Fra queste ricordiamo Microsoft, Apple, Google Chrome, Intel, Samba, OpenBSD, dispositivi industriali Weidmueller, SAP e Siemens. In particolare, nel Patch Tuesday di Microsoft è stata corretta anche una vulnerabilità 0-day sfruttata dall’APT sud-coreano DarkHotel per l’operazione WizardOpium e identificato con CVE-2019-1458.

Concludiamo la rassegna settimana con l’ultima azione del collettivo Anonymous che ha preso di mira il portale ufficiale della multinazionale farmaceutica Bayernell’ambito della campagna #OpGreenRights. L’azione è stata rilanciata, fra gli altri, anche dal profilo Twitter @Anon_ITA. Il sito web italiano della Bayer era caduto vittima di una violazione di stampo hacktivista solo lo scorso mese.