WEEKLY THREATS

Weekly Threats N. 13 2020

27 Marzo 2020

Quattro sono i temi che segnano questa nostra rassegna settimanale: le numerose campagne che sfruttano il tema della pandemia da Coronavirus (COVID-19), alcune gravi vulnerabilità sfruttate in the wild, una serie di attacchi che riguardano anche l’Italia e aggiornamenti significativi dal panorama APT internazionale.

Riguardo agli attacchi a tema COVID-19 in Italia, è stata scoperta una versione trojanizzata dell’applicazione per AndroidSMCovid19″ – sviluppata dalla compagnia italiana SoftMining e pensata per consentire agli utenti di segnalare le proprie condizioni di salute e accedere a informazioni utili, oltre a dati e statistiche in merito alla diffusione del contagio. Le 5 diverse varianti della minaccia sono in grado di esfiltrare informazioni dai dispositivi.
A livello internazionale, invece, gli episodi da rimarcare sono numerosi. Il nome e il logo della WHO (World Health Organization) sono stati sfruttati per una campagna di distribuzione del keylogger e infostealer HawkEye. Il ransomware Mailto (alias NetWalker) – che viene distribuito anche da email a tema COVID-19 – ha bloccato i sistemi della Champaign-Urbana Public Health District (CUPHD), in Illinois, complicando la vita agli organi governativi locali preposti alla gestione delle notizie in merito alla pandemia. Il trojan bancario Cerberus, per dispositivi Android, si è presentato alle vittime nelle vesti di un APK chiamato Corona-Apps. E il RAT BlackNET è invece protagonista di una campagna quasi surreale nella quale gli attaccanti pubblicizzano un sedicente “Corona Antivirus” digitale che proteggerebbe anche dalla minaccia biologica. Mentre anche l’APT nordcoreano ScarCruft sta cavalcando cinicamente questa onda per distribuire malware per sistemi Windows e iOS, gli operatori del malware WordPress WP-VCD hanno modificato la propria minaccia, che ora si spaccia per utility legittime che consentono di monitorare le informazioni sul COVID-19.
Non mancano poi ondate di email di phishing che offrono aggiornamenti fraudolenti di piani assicurativi sanitari.

Quanto alle vulnerabilità, di particolare rilievo è il caso di sfruttamento in the wild di due bug 0-day che affliggono la libreria Adobe Type Manager Library (atmfd.dll), adottata in Windows per il rendering di alcuni caratteri speciali. La stessa Microsoft ha segnalato il problema, spiegando che le due vulnerabilità critiche, entrambe di tiporemote code execution, vengono innescate quando Adobe Type Manager Library gestisce in maniera errata un font multi-master appositamente predisposto – il formato Adobe PostScript Type 1. Sono impattate tutte le versioni supportate di Windows (ma anche la 7). Poiché al momento non sono ancora disponibili le correzioni, schedulate per il prossimo Patch Tuesday, la compagnia ha suggerito di utilizzare alcuni workaround per mettere in sicurezza i sistemi.
Sfruttate in the wild anche falle 0-day dei registratori DVR prodotti dalla taiwanese LILIN. A partire da agosto 2019 diversi attori ne hanno approfittato per distribuire le botnet Chalubo, FBot e Moobot. In questo caso, tuttavia, gli utenti possono ricorrere a versioni aggiornate e corrette dei prodotti.
Un ricercatore di sicurezza ha poi rilasciato la PoC dell’exploit per un bug critico RCE (CVE-2020-7982) del sistema operativo OpenWrt – basato su Linux – che viene ampiamente utilizzato per router, residential gateway e altri dispositivi embedded che indirizzano il traffico di rete.
Segnaliamo, infine, la pubblicazione di bollettini schedulati e straordinari per prodotti e soluzioni Apple, Joomla!, Schneider Electric, Adobe e WISAM.

Passando al campo delle minacce che hanno interessato il nostro Paese, sono state tracciate email di phishing mirate contro account PEC (posta elettronica certificata) del portale istruzione[.]it. Inoltre, un’ondata di malspam ha veicolato sLoad anche a PEC aziendali. Infine la campagna “Zaratustra” basata su messaggi scritti in italiano e contenenti in allegato un XLS ha distribuito RevengeRat.

Nell’orizzonte APT spicca “Operation Poisoned News“, mirata allo spionaggio di massa ad Hong Kong, che è attualmente oggetto di indagini di diverse firme di sicurezza. Le notizie pubblicate negli ultimi giorni hanno fornito i primi dettagli di un’operazione verosimilmente di matrice cinese che ha colpito utenti iOS e Android sfruttando la tecnica del watering hole. Sono state distribuite due minacce, battezzate lightSpy e dmsSpy, che raccolgono informazioni e tracciano le attività dei target. Gli attaccanti si sono avvalsi anche dell’exploit per una vulnerabilità che consente il jailbreack dei dispositivi Apple (CVE-2019-8605), oltre che di una falla di Safari sulla cui effettiva correzione permangono ancora molti dubbi.
Nel frattempo, sono stati rilasciati pubblicamente documenti che attesterebbero lo sviluppo di un tool offensivo da parte dell’FSB, il Servizio di sicurezza federale russo. La rivelazione è stata fatta dal gruppo hacktivista Digital Revolution e riguarda un software chiamato “Fronton” che consentirebbe attacchi informatici utilizzando dispositivi Internet-of-Things (IoT) infetti.
Chiudiamo con un altro leak di informazioni proveniente dal mondo state sponsored; stavolta però si tratta della scoperta di un nuovo tool per la detection del RAT HyperBro, associato ad Emissary Panda. Il tool, rilevato da una firma di sicurezza che si era messa alla ricerca proprio di HyperBro, apparterrebbe al Governo di Teheran, che già lo scorso 15 dicembre – per voce del Ministro delle Comunicazioni e dell’information Technology, Mohammad Javad Azari-Jahromi – aveva accusato Pechino di aver preso di mira l’infrastruttura e-government del paese.

[post_tags]