Weekly Threats N. 10 2020

Anche nella settimana che si sta concludendo si sono registrati attacchi malware che sfruttano il tema della diffusione del Coronavirus. In alcuni casi è stato distribuito il malware TrickBot tramite email firmate da tale Dr. Penelope Marchetti dell’Organizzazione Mondiale della Sanità – Italia e contenevano un allegato DOC malevolo. Altri messaggi di posta sembravano spediti dai Centers for Disease Control e contenevano link a siti di phishing di credenziali per login di Microsoft Outlook. Agent Tesla invece è stato distribuito sfruttando file EXE allegati a comunicazioni che sembravano inviate dalla World Health Organization (WHO). Anche il gruppo ScarCruft (alias Kimsuki) non si è fatto sfuggire l’occasione e ha inviato ai propri target email con allegati malevoli i cui filename sono “Director’s Instructions for Corona Virus” e “200 Vegan Secretary of State Letter 20200302.doc”.

Sul versante APT emerge una compagine di possibile matrice mediorientale che ha colpito principalmente utenti arabi e sciiti dal giorno dell’intervento in Yemen condotto dall’Arabia Saudita, ricordato come “Operation Restore Hope“ (22 aprile 2015), fino ad alcuni mesi dopo il Campionato Mondiale di Calcio del 2018. Battezzato SilencerLion, il gruppo sarebbe specializzato in azioni di cyber spionaggio e anche di diffusione di false informazioni tramite piattaforme social.
Ancora nel campo delle azioni state-sponsored, sono due le vicende che coinvolgono su fronti opposti gli Stati Uniti e la Cina. La CIA è stata accusata formalmente da una firma di sicurezza cinese di aver orchestrato le operazioni associate al gruppo APT-C-39 (alias Longhorn); quest’ultimo avrebbe infatti sfruttato i tool di spionaggio sviluppati dall’agenzia e raccolti nel database “Vault 7“, pubblicato tempo fa da Wikileaks. Fra 2008 e 2019 sarebbero state prese di mira, nelle province di Pechino, Guangdong e Zhejiang, organizzazioni dei settori dell’aviazione, della ricerca scientifica, del greggio e delle telecomunicazioni.
Nel frattempo, il Dipartimento di Giustizia degli Stati Uniti ha incriminato due cittadini cinesi – Tian Yinyin e Li Jiadong – per riciclaggio di valuta virtuale del valore di oltre 100 milioni di dollari. I fondi proverrebbero dagli oltre 250 milioni di dollari sottratti nel 2018 a due diversi exchange di criptovaluta, di cui non sono stati divulgati i nomi, durante attacchi perpetrati dall’APT nordocoreano Lazarus.

Ancora gli USA sono presi in causa da due casi di infezioni basate su ransomware. DoppelPaymer ha colpito la Visser Precision, che produce materiale per alcuni giganti dell’industria aerospaziale e automobilistica come Lockheed Martin, SpaceX, Boeing, Tesla, Honeywell e General Dynamics; PwndLocker ha invece bloccato i network di società e organizzazioni governative locali, fra cui la contea di Lasalle in Illinois (le richieste di riscatto variano, nel complesso, dai 175.000 agli oltre 660.000 dollari).

Ricca come al solito la messe di interventi contro vulnerabilità e problemi di sicurezza che impattano soluzioni software e hardware. È uscito il bollettino mensile di Android che corregge un totale di 71 falle; una di queste, la CVE-2020-0069 di tipo elevation of privilege che affligge la componente Mediatek Command Queue driver, risulta già sfruttata in the wild e ne è stato reso noto anche l’exploit.
Inoltre, è stato segnalato un bug critico nella ROM di Intel Converged Security and Management Engine (CSME) per il quale non sarà facile trovare una soluzione. Quando la compagnia è stata avvertita, ha fatto presente di esserne già al corrente e di aver rilasciato le prime mitigazioni nel maggio 2019 (advisory INTEL-SA-00213, aggiornato a febbraio 2020), segnalando la falla con il codice CVE-2019-0090.
Le più diffuse distribuzioni Linux – tra cui Debian, Ubuntu, SUSE Linux, Fedora, NetBSD e Red Hat Enterprise Linux – sono afflitte da un bug che riguarda il demone PPP (Daemon Point-to-Point) nelle versioni dalla 2.4.2 alla 2.4.8; si tratta di uno stack buffer overflow causato da un errore logico nel parser di pacchetti EAP (Extensible Authentication Protocol) del software, identificato con CVE-2020-8597.
Infine, Let’s Encrypt ha dovuto ritirare oltre 3 milioni di certificati TLS a causa di una falla che impatta il software Boulder.
Correzioni ed update di sicurezza anche per i prodotti industriali Omron, Phoenix Contact, Emerson, per le soluzioni Cisco, per il browser Chrome e per il web framework open source Django (una SQL injection tracciata con CVE-2020-9402).

Chiudiamo la nostra rassegna con l’ennesima azione hacktivista che il gruppo LulzSecITA ha messo a segno contro il portale dell’Università della Calabria; defacement della homepage e data breach che ha esposto i dati degli oltre 7.600 utenti del sito dell’Ateneo.