WEEKLY THREATS

Weekly Threats N. 08 2020

21 Febbraio 2020

Questa settimana è stata rilevata un’estesa operazione di malspam che ha colpito utenze italiane, inizialmente con il trojan bancario Ursnif e successivamente con una versione del ransomware Dharma. Gli attaccanti hanno inviato messaggi di posta elettronica in cui si chiedeva alle vittime di prendere visione di sedicenti fatture, ma in realtà all’interno del testo era contenuto un link al servizio di cloud storage OneDrive, dove erano ospitati i file malevoli.

Due le campagne malware estere degne di nota. La prima ha colpito almeno 13 compagnie – i cui brand sono piuttosto popolari – tramite mail di spear phishing che distribuivano il RAT NetSupport Manager; la seconda ha preso di mira oltre 80 società turche che sono state infettate con il RAT Adwind, una minaccia in grado di fare screenshot, sottrarre file e password presenti nella cache, fare keylogging, raccogliere certificati VPN e molto altro.
Sempre a livello internazionale, sono numerose le notizie cyber della settimana: innanzitutto è stato reso noto che la società INA Group, prima compagnia petrolifera della Croazia, ha subito un attacco ransomware lo scorso 14 febbraio. Per colpire i sistemi della società, gli attaccanti si sono serviti della minaccia identificata come Clop, che da marzo dello scorso anno ha smesso di prendere di mira utenze private per concentrarsi invece su realtà aziendali.
Segue la conferma da parte del Ministero degli Affari Esteri della Georgia di un cyber-attacco su larga scala risalente al 28 ottobre 2019. L’offensiva sarebbe stata lanciata dall’agenzia di intelligence russa GRU e avrebbe tentato di minare la sicurezza nazionale compromettendo i sistemi di numerosi enti governativi, di realtà commerciali e di operatori dei media.
Inoltre, la Israel Defense Force e la Israel Security Agency hanno recentemente condotto un’investigazione che ha portato alla luce un’attività perpetrata contro i soldati israeliani. Battezzata “Rebound“, la campagna è stata attribuita al gruppo state-sponsored palestinese Arid Viper (alias APT-C-23), parzialmente identificato con l’organizzazione politica e paramilitare Hamas. Rebound mirava a compromettere i dispositivi mobili Android dei soldati israeliani, i quali venivano contattati tramite account social falsamente appartenenti ad attraenti ragazze. Queste tentavano poi di indurli a scaricare dei malware camuffati da applicazioni di dating, tra cui GrixyApp, ZatuApp e Catch&See.
Sul versante APT spicca Fox Kitten, una campagna malevola di lungo corso attribuita ad attori state-sponsored iraniani. Attiva da almeno tre anni, Fox Kitten ha preso di mira decine di organizzazioni e compagnie principalmente in Israele, ma anche in altri paesi tra cui USA, numerosi stati mediorientali ed altrettanti europei dei settori IT, governativo, delle telecomunicazioni, dell’energia, dell’aviazione e della sicurezza. La campagna, basata su diversi tool offensivi, sembra il frutto della collaborazione fra tre noti APT iraniani: OilRig (APT34), APT33 (alias Elfin) e in parte Chafer (APT39).
Sempre sul fronte APT, l’USCYBERCOM ha rilasciato dettagli relativi ad alcuni tool recentemente scoperti e associati al gruppo nordcoreano Lazarus. Oltre al già noto HOPLIGHT – considerato una variante del RAT NukeSped – sono stati tracciati ARTFULPIE, HOTCROISSANT, CROWDEDFLOUNDER, SLICKSHOES, BISTROMATH e BUFFETLINE.

Per quanto riguarda le vulnerabilità, non sono stati rilasciati bollettini schedulati, ma diverse aziende hanno risolto bug isolati, in alcuni casi anche critici. Tra queste, Schneider Electrics, VMware, Cisco, Adobe e Emerson. Infine, tre plugin di WordPress hanno fatto parlare di sé; nello specifico, sono stati rilevati casi di sfruttamento in the wild di falle che affliggono ThemeREX Addons e ThemeGrill Demo Importer, mentre Profile Builder risulta impattato da un problema con CVSS 10.0 che verrà corretto il prossimo 24 febbraio. In nessun caso sono disponibili i codici CVE.

Sul versante data breach, segnaliamo che uno dei maggiori istituti di credito dello Stato del Sudafrica, “Nedbank“, ha recentemente subito una perdita di dati che ha coinvolto informazioni personali di 1,7 milioni di clienti. L’incidente sarebbe stato causato dal service provider di Computer Facilities (Pty) Ltd., un partner commerciale della banca che gestisce il marketing tramite mail e SMS.

Concludiamo con la campagna hacktivista #OpLucania, lanciata dal collettivo Anonymous Italia nell’ambito della più vasta #OpGreenRights. Gli hacktivisti hanno pubblicato sul proprio blog ufficiale un post interamente dedicato alla Basilicata e all’ENI in cui accusano la società di aver provocato gravi danni ambientali in numerose località per le attività di estrazione del greggio, avviate a partire dal 1991. L’azione ha portato ad una serie di data breach che hanno coinvolto numerosi siti istituzionali tra cui anche quelli di Regione Basilicata e Consiglio Regionale della Basilicata.

[post_tags]