Apriamo la nostra rassegna settimanale su campagne che hanno prontamente cavalcato l’onda dell’emergenza Coronavirus.
Il gruppo di matrice indiana Dropping Elephant ha lanciato email di spear-phishing con allegati documenti che si fingono in un caso indicazioni per chi avesse intenzione di recarsi a Wuhan, luogo da cui è partita l’ondata di infezioni, e in un altro una direttiva del Ministero della Salute. Diversi attori che mirano a distribuire Emotet, invece, hanno confezionato messaggi di posta elettronica indirizzati a target giapponesi e statunitensi.
Nel frattempo, fra le novità più significative che si registrano sul versante minacce vi è la backdoor in C ++ a 32bit MINEBRIDGE.
A partire dal mese di dicembre 2019 sono stati tracciati 3 diversi attacchi basati su di essa; la distribuzione è affidata – nell’ambito di campagne di spear phishing – a versioni obsolete di TeamViewer. Ne hanno fatto le spese perlopiù organizzazioni che forniscono servizi finanziari con base negli Stati Uniti, ma anche organizzazioni sudcoreane, tra cui un’agenzia di marketing.
Emerge poi il nuovo ransomware Mailto, alias Netwalker, che colpisce host Windows di reti aziendali e che ha già mietuto almeno una vittima: l’australiana Toll Group, attiva nel settore dei trasporti e della logistica, sussidiaria della giapponese Post Holdings.
DopplePaymer, invece, è passato – insieme a Maze, Sodinokibi e Nemty – sul fronte delle estorsioni; le vittime insolventi rischiano ora di vedersi pubblicate o vendute nel darkweb le informazioni rubate.
Fra le vittime di un ransomware non ancora identificato compare anche la Credit Union National Association (CUNA); nessun dettaglio ufficiale consente di delineare i fatti, ma sembra che sia stata sfruttata la nota falla di Citrix ADC e Gateway CVE-2019-19781.
Anche il ransomware RobbinHood ha iniziato ad avvalersi di exploit; nello specifico, si tratta di quello per la CVE-2018-19320 che affligge un driver di schede madri taiwanese Gigabyte e che consente di aggirare le protezioni antivirus.
Un altro exploit è invece alla base di una campagna APT attribuibile a Emissary Panda, alias APT27; il bug CVE-2019-0604 di SharePoint è stato sfruttato per colpire organizzazioni governative di una nazione del Medio Oriente.


Una vulnerabilità critica dei Linear eMerge E3, distribuiti dalla Nortek Security & Control, è stata poi impiegata per lanciare attacchi DDoS; massima attenzione si richiede agli utenti di questi dispositivi afflitti nel complesso da 14 falle delle quali molte hanno CVSS fra 9.8 e 10.0.
Le API della piattaforma Twitter sono state invece abusate per associare username e numeri di telefono in una campagna – verosimilmente state-sponsored – che ha mirato soprattutto ad utenti in Iran, Israele e Malesia.
Ricchissimo il versante vulnerabilità. Guai per WhatsApp e Google Photos: diversi bug identificati con l’unico codice CVE-2019-18426 consentono di rubare file dai computer Windows o MacOS delle vittime che utilizzano WhatsApp Web (versione desktop); fra il 21 e il 25 novembre 2019, chi ha fatto il download dei propri dati con Google Takeout, potrebbe aver esportato video di archivi non associati al proprio account. TeamViewer ha corretto un problema che riguarda il salvataggio delle credenziali del servizio di assistenza remota (CVE-2019-18988). Per la grave falla che impatta circuiti integrati cinesi prodotti dalla cinese HiSilicon (interamente posseduta dalla Huawei) è stata rilasciata la PoC: a rischio decine di dispositivi come DVR, NVR e camere IP che adottano queste componenti.
Doppio impegno per Google: è uscito il bollettino di sicurezza mensile di Android ed è stata rilasciata la versione 80 del browser Chrome. Cisco ha infine rilasciato patch per alcuni gravi problemi di sicurezza che affliggono milioni di device CDPwn.


Chiudiamo con l’ennesimo breach firmato dal gruppo LulzSecITA: colpiti i sistemi dell’Università “Roma TRE”. Gli hacktivisti continuano a richiamare l’attenzione degli amministratori e dell’opinione pubblica sulla necessità di garantire al meglio la riservatezza dei dati personali.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi