Weekly Threats N. 05 2020

La settimana che sta per chiudersi è stata segnata da diverse notizie di respiro internazionale. Fra tutte spicca la vicenda che sembra aver coinvolto gli uffici di Vienna e di Ginevra dell’ONU. Un’agenzia di stampa specializzata in storie umanitarie ha recentemente reso noto che, secondo quanto emerge da un report confidenziale, le reti e i database dell’Organizzazione delle Nazioni Unite sarebbero stati gravemente compromessi senza che nessuno abbia reso pubblica la notizia.
Sarebbe noto, invece, l’attore responsabile di un’operazione di spionaggio state-sponsored ai danni di un giornalista del New York Times. L’APT KINGDOM, sponsorizzato dal regime di Riad, avrebbe tentato di spiare il reporter Ben Hubbard inviandogli un SMS malevolo in grado di infettare il suo smartphone con il noto tool Pegasus, prodotto dalla società israeliana NSO Group.
Sempre sul versante degli APT mediorientali, il gruppo iraniano OilRig (alias APT34) ha recentemente condotto una nuova campagna contro la società statunitense Westat, che fornisce servizi di ricerca ad agenzie governative, aziende, fondazioni egoverni locali. Per l’operazione, il gruppo si è servito di una nuova versione della backdoor TONEDEAF e del tool per esfiltrare credenziali VALUEVAULT.
Sempre in area saudita, dopo quasi tre anni di apparente inattività, torna a far parlare di sé il collettivo conosciuto come OurMine. Nel corso di più giorni, il gruppo ha preso di mira gli account Twitter, Facebook e/o Instagram di numerose squadre della National Football League (NFL).
Rimaniamo in Medio Oriente. Sul fronte turco-greco sono stati rivendicati attacchi hacktivisti da entrambe le parti. Inoltre, secondo quanto riportato da fonti giornalistiche, dietro alla campagna identificata come Sea Turtle si nasconderebbe un gruppo di hacker che agiscono nell’interesse del governo turco. Tra le vittime figurano i servizi mail del governo cipriota e del governo greco, ilConsigliere per la sicurezza nazionale del governo iracheno e l’Intelligence albanese con centinaia di credenziali compromesse.
Spostandoci verso il Sudest asiatico, grazie ad un’operazione di polizia ribattezzata Night Fury condotta dall’ASEAN Cyber Capability Desk dell’INTERPOL in collaborazione con la Indonesian Cyber Police, sono stati fermati tre individui accusati di aver distribuito lo script con funzioni di skimmer noto come GetBilling. Le attività malevole sono state condotte dai cyber-criminali principalmente in Australia, Regno Unito, Stati Uniti, Germania, Brasile.

Nel panorama cyber italiano si registrano due operazioni hacktiviste contro le Università della Basilicata e di Napoli firmate da LulzSecITA e un’ondata di messaggi PEC finalizzata alla distribuzione del malware sLoad.

Per quanto riguarda le minacce, è stata rilevata una nuova versione dell’infostealer basato sul codice di Ryuk – che riesce a carpire un’enorme quantità di file confidenziali relativi a governi, settore militare e bancario – ed è stato distribuito un nuovo ransomware identificato come Ragnarok sfruttando l’ormai nota vulnerabilità di Citrix ADC e Gateway CVE-2019-19781.

Piuttosto nutrita anche la sezione vulnerabilità. Si apprende solo ora che, grazie alla falla CVE-2019-18187, uno 0-day che affliggeva un prodotto di sicurezza di TrendMicro, il gruppo di cyber-spionaggio cinese Tick è riuscito a compromettere alcuni mesi fa isistemi della Mitsubishi Electric.
La falla CVE-2020-8417 del plugin di WordPress CodeSnippet ha messo a rischio oltre 200.000 siti basati sul CMS. Nelle installazioni ancora vulnerabili, un attaccante potrebbe infatti inviare una richiesta per conto di un amministratore e iniettare codice malevolo al fine di creare un nuovo account amministrativo, esfiltrare informazioni sensibili, infettare utenti del sito e molto altro.
Segnaliamo poi che sono state rilasciate le PoC per l’exploit delle vulnerabilità CVE-2020-0609 e CVE-2020-0610 che affliggono il Remote Desktop Gateway di Microsoft. I due bug – battezzati BlueGate – possono consentire ad un attaccante non autenticato di eseguire codice sul sistema target; in questo caso le Proof of Concept sono pensate per verificare quale host sia effettivamente vulnerabile e per determinare una condizione di Denial of Service (DoS).
Due falle simili espongono le videoconferenze e i meeting online: la prima è una vulnerabilità della popolare piattaforma Zoom, che consentirebbe ad un attaccante di ascoltare e vedere tutto il contenuto condiviso durante il meeting. La seconda è una falla rilevata in Webex Meetings e tracciata con codice CVE-2020-3142. Anche in questo caso, un attaccante non autenticato può sfruttare la falla per avere accesso ad uno specifico meeting (conoscendone l’ID o la URL) dal web browser di un dispositivo mobile.

Per concludere, segnaliamo che la violazione subita qualche mese fa da Wawa – una catena di negozi che fornisce servizi ATM e distributori di benzina – potrebbe avere ripercussioni più pesanti del previsto. È stato infatti scoperto che i dati ottenuti sono stati messi in vendita dagli attaccanti sul marketplace Joker’s Stash: si tratterebbe dei dati delle carte di credito di oltre 30 milioni di clienti della compagnia, contenuti in una raccolta chiamata BIGBADABOOM-III e di cui finora è stata pubblicata solo una parte.