Weekly Threats N. 51 2019

Continuano anche questa settimane le campagne di malspam che colpiscono utenti e aziende italiane: sono state infatti tracciate mail malevole che distribuiscono Ursnif sfruttando il brand di GLS-Italy e altre che diffondono Emotet fingendo di provenire dal Ministero delle Finanze. Colpite organizzazioni in vari paesi europei – fra i quali compare l’Italia – anche con il ransomware Maze, i cui creatori hanno recentemente realizzato un sito web sul quale hanno iniziato a pubblicare una lista delle vittime e una selezione dei dati bloccati.
Sempre tra i fatti salienti che riguardano l’Italia, citiamo l’azione hacktivista del collettivo LulzSecITA, una branca di Anonymous Italia, che ha pubblicato oggi un post su Twitter con cui dimostra di aver violato i sistemi della Camera Penale di Napoli. Stando agli screenshot diffusi dal gruppo, la compromissione avrebbe consentito di operare un defacement del portale e di accedere alle informazioni contenute al suo interno, incluse quelle relative agli Avvocati iscritti e altri documenti di varia natura contenuti nella sezione backoffice.

Il panorama internazionale è decisamente dominato dalle attività APT. Innanzitutto, è stata scoperta una campagna di cyber-spionaggio ancora in corso che sta colpendo centinaia di realtà nel settore industriale e manifatturiero in Corea del Sud. Lo scopo dell’operazione, ribattezzata Gangnam Industrial Style, è quella di rubare credenziali che potrebbero consentire accesso remoto RDP a reti IoT/ICS e a documenti tra cui segreti di mercato e proprietà intellettuale. La minaccia utilizzata dagli attaccanti è una nuova versione del malware Separ, distribuita tramite mail di spear phishing. Al momento pare che siano stati compromessi oltre 200 sistemi. Oltre alla Corea, anche se in misura nettamente minore, sono state colpite anche Cina e Thailandia.
Un’altra campagna di cyber-spionaggio, cui è stato attribuito il nome “Operation Wocao”, è stata condotta da un gruppo state-sponsored di origine cinese, presumibilmente APT20. Le vittime sono organizzazioni localizzate in USA, Messico, Brasile, Regno Unito, Francia, Portogallo, Spagna, Germania, Italia e Cina. I settori coinvolti sono aviazione, costruzioni, gioco d’azzardo, energia, finanza, sanità, assicurazioni, ingegneria off-shore, contabilità e servizi alle risorse umane, manifattura di sistemi di sicurezza fisici, sviluppo software e trasporti.
Inoltre, l’infrastruttura e-government iraniana ha subito ben due tentativi di attacco in una settimana. Secondo quanto dichiarato dall’attuale Ministro delle Tecnologie dell’informazione e della Comunicazione Mohammad Javad Azari-Jahromi, i responsabili sarebbero stati identificati nel noto gruppo state-sponsored cinese Emissary Panda (alias APT27).
Nelle ultime settimane, sono stati compromessi poi gli account Telegram di almeno una dozzina di imprenditori russi, grazie ad un tipo di attacco che potrebbe avere conseguenze per tutti gli utenti della piattaforma, ma di cui non si conoscono i responsabili. Gli attaccanti sono riusciti a leggere i messaggi delle vittime rubando i codici segreti che vengono inviati agli smartphone degli utenti per autenticarsi e che consentono loro di accedere agli account target. Al momento non ci sono certezze su come gli SMS siano stati intercettati ma è possibile che la stessa rete mobile sia stata in qualche modo violata.
Infine, segnaliamo che è stato scoperto un nuovo RAT associabile all’APT nordcoreano Lazarus. Si tratta di Dacls, in grado di colpire sia sistemi Linux che Windows. Per la distribuzione di Dacls, un malware costituito da numerosi plugin, è probabile che gli attaccanti si siano serviti della vulnerabilità CVE-2019-3396 di Atlassian Confluence.

Fra i bollettini rilasciati questa settimana citiamo in particolare quello di Siemens, che comprende diverse vulnerabilità critiche, Drupal, Advantech, Google e Wago. Una menzione a parte merita un bug di WordPress che affligge le versioni premium dei due popolari plugin Elementor e Beaver e che è già stato sfruttato in-the-wild. Attaccanti hanno infatti utilizzato la falla, che consente di accedere come amministratore ai siti vulnerabili senza bisogno della password, per installare un falso plugin di statistiche SEO dopo aver caricato un file tmp.zip sul server WordPress di destinazione, che alla fine rilascia un file backdoor wp-xmlrpc.php nella directory principale del sito vulnerabile. Inoltre, Microsoft ha corretto una falla di SharePoint identificata con CVE-2019-1491, che può essere sfruttata per leggere file arbitrari.

Concludiamo con la notizia dell’arresto di Nathan Wyatt, un trentanovenne accusato di essere uno dei membri del gruppo “The Dark Overlord”, ritenuto responsabile di una serie di attacchi e compromissioni principalmente a scopo estorsivo.