Weekly Threats N. 01 2020

Questa settimana è stata individuata una nuova minaccia collegata al celebre gruppo financially-motivated di matrice russa Anunak (alias Carbanak, FIN7). Il nuovo malware, battezzato BIOLOAD, mostra diversi punti in comune con BOOSTWRITE, un tool la cui esistenza è stata portata alla luce per la prima volta lo scorso ottobre, e di cui probabilmente BIOLOAD è un precursore. Diversamente da BOOSTWRITE, che caricava sui sistemi target il RAT RDFSNIFFER, lo scopo principale di BIOLOAD è quello di caricare una nuova versione della backdoor Carbanak.

Un altro noto gruppo i cui interessi sono principalmente finanziari fa parlare di sé: si tratta di TA505, cui è stata associata una nuova versione della variante tunnel di ServHelper. La nuova versione della backdoor tenta di evitare la detection effettuando il tunneling delle connessioni RDP tramite una connessione Secure Shell (ssh) ai server di comando e controllo.
Infine, torna alla ribalta il ransomware Ryuk, i cui operatori sono riusciti ad abbattere l’intera rete IT di una struttura regolamentata dal Maritime Transportation Security Act (MTSA). Anche se il Marine Safety Information Bulletin (MSIB) non menziona il tipo di impianto colpito o il suo nome, è probabile che la vittima sia un ente portuale visto che il ransomware è riuscito ad infiltrarsi nei sistemi di controllo industriale del trasferimento merci e a metterli fuori uso per oltre 30 ore.

Proseguiamo l’excursus sui fatti più rilevanti della settimana con il gruppo APT di provenienza cinese Mustang Panda che ha recentemente condotto due campagne di cui una contro enti governativi vietnamiti e una contro numerose organizzazioninon governative nell’area del Sud-Est Asiatico.
La prima si basa su messaggi di posta elettronica, in cui il mittente finge di inviare il proprio curriculum vitae, spediti direttamente alla mailbox del governo di una provincia costiera del Vietnam centro-meridionale. Alla fine della catena non vengono però eseguiti i malware di cui solitamente si serve Mustang Panda, Cobalt Strike e PlugX, ma il noto keylogger e commodity RAT njRAT.
La seconda, più vasta, ha fatto vittime anche fra organizzazioni politiche o forze dell’ordine in paesi vicini alla Repubblica Popolare Cinese tra cui Mongolia e India con documenti esca che mostrano un interesse in questioni umanitarie o di sicurezza nazionale. Per l’operazione,il gruppo si è servito sia di tool proprietari come i remote access tool RCSession e ORat, che di minacce off-the-shelf tra cui Cobalt Strike, PlugX, Nbtscan, Nmap e Wmiexec.

Sempre sul fronte cinese, un’indagine giornalistica condotta di recente ha portato alla luce nuovi dettagli sulla nota campagna di cyber-spionaggio lanciata dal gruppo sponsorizzato dal governo di Pechino Stone Panda (alias APT10) e ribattezzata Cloud Hopper. In particolare, secondo quanto emerso dalle ultime indagini, gli attori sono penetrati nei sistemi della società mineraria Rio Tinto, del colosso sanitario Philips, di CGI Group Inc. (una delle maggiori compagnie cloud canadesi), di Tieto Oyj (una grande azienda di servizi IT finlandese) e di International Business Machines Corp. Sarebbero inoltre state colpite Hewlett Packard Enterprise, American Airlines Group Inc, Deutsche Bank AG, Allianz SE e GlaxoSmithKline PLC. Da notare che anche numerose agenzie governative statunitensi, incluso il Dipartimento di Giustizia, si sono preoccupate di una loro possibile esposizione.

Infine, segnaliamo che Microsoft ha denunciato il gruppo state-sponsored nordcoreano ScarCruft per aver perpetrato attacchi di spear phishing contro i suoi clienti allo scopo di accedere ai loro account e rubare informazioni sensibili. L’azienda ha inoltre messo offline 50 domini collegati alle operazioni del gruppo, molte delle quali condotte con malware come BabyShark o KimJongRAT.

Concludiamo la rassegna citando l’incidente occorso al produttore di dispositivi smart Wyze Labs, che ha esposto i dati di circa 2,4 milioni di utenti in un database non sicuro collegato ad un cluster ElasticSearch. In risposta a quanto accaduto, la Wyze ha forzato il logout di tutti gli utenti, aggiornato i token e predisposto un livello di protezione aggiuntivo per i propri database.