Weekly Threats N. 11 2020

Anche questa settimana apriamo la nostra rassegna con una serie di campagne basate sul tema del Coronavirus (COVID-19) in tutto il mondo. Attori di diversi livelli stanno approfittando cinicamente della situazione per distribuire malware, sottrarre informazioni personali e finanziarie, fare spionaggio. Lo stealer AZORult è stato distribuito camuffato da mappa di distribuzione del COVID-19, quella legittima è stata messa a disposizione sul sito della Johns Hopkins University (ArcGIS). Inoltre, sono stati tracciati numerosi sample di minacce, fra cui anche un ransomware, e domini fraudolenti i cui nomi fanno riferimento al virus. Infine, due diversi gruppi state-sponsored di matrice cinese hanno preso di mira, da un lato target del settore pubblico della Mongolia e, dall’altro, il Vietnam (Mustang Panda).
Si distinguono invece i gruppi hacktivisti nostrani, Anonymous Italia e LulzSecITA, che hanno deciso di interrompere ogni operazione e promuovere le predisposizioni governative di sicurezza, sotto l’hashtag #IORESTOACASA.

In campo internazionale segnaliamo due fatti riguardanti attività governative. Amnesty denuncia campagne di spionaggio contro attivisti dei diritti umani in Uzbekistan basate soprattutto su tool per sistemi Android – fra cui una versione estesa di Droid-Watcher – ma anche sul noto Quasar RAT. Il gruppo russo Turla, invece, ha colpito per tutto il 2019 target in Armenia con nuove minacce.
Sul versante cybercrime spicca poi la scoperta di Parinacota, un team che adotta tecniche d’attacco piuttosto sofisticate e controllate personalmente contro sistemi business e utenze singole; di recente questo attore ha iniziato a sfruttare anche il ransomware Wadhrama.

Ma una delle notizie di maggior rilievo proviene dal settore vulnerabilità. In concomitanza con l’uscita del bollettino mensile – nel quale sono state affrontate 115 falle, di cui 26 critiche – Microsoft ha reso pubblici accidentalmente dettagli di una grave RCE (remote code execution) “wormable” che affligge SMBv3 (Microsoft Server Message Block 3.1.1) e di cui non erano ancora disponibili soluzioni definitive. Tracciata con CVE-2020-0796, la falla è stata poi corretta a distanza di un paio di giorni (patch KB4551762, applicabile dagli update di sistema).

Nel frattempo i chip Intel e AMD si sono rivelati vulnerabili a nuove tecniche di compromissione. I processori AMD rilasciati fra il 2011 e il 2019 sono esposti a due potenziali vettori di attacco side-channel chiamati “Take A Way”, che sfruttano il cache predictor L1D nella microarchitettura Bulldozer per sottrarre dati sensibili e comprometterne la sicurezza, recuperando la chiave segreta utilizzata durante la crittografia. Nel caso di Intel, invece, fra i 9 advisory rilasciati questo mese compare quello per il bug CVE-2020-0551, battezzato LVI (Load Value Injection), grazie al quale si possono aggirare tutte le mitigazioni che fronteggiano attacchi “transient-execution” – come Meltdown, Spectre, Foreshadow, ZombieLoad, RIDL e Fallout – avendo quindi accesso a informazioni sensibili.

Interventi anche per il servizio di pagamento di NordVPN – che esponeva i dati degli utenti – e per l’antivirus Avast, che ha disattivato il motore JavaScript a causa di un grave bug. Rilasciate le versioni 74 e ESR 68.6 di Firefox per correggere problemi anche ad alto impatto; pubblicati bollettini schedulati e straordinari anche per Joomla!, Johnson Controls, PAN-OS di Palo Alto, WAGO, Rockwell Automation, SAP, Phoenix Contact, Huawei, VMware e Siemens.

Chiudiamo con il takedown della botnet Necurs, annunciato da Microsoft. Un’operazione coordinata, che ha coinvolto in 35 paesi la polizia internazionale e compagnie tecnologiche private, ha consentito di rompere l’algoritmo di generazione del dominio (DGA) implementato da Necurs e di prevedere con precisione oltre 6 milioni di domini unici che sarebbero stati creati di lì a 25 mesi. La mianaccia ha infettato dal 2012 ad oggi oltre 9 milioni di computer in tutto il mondo. Il controllo dell’infrastruttura statunitense è stato legalmente affidato a Microsoft.