Weekly Threats N. 15 2020

Anche questa settimana il tema della pandemia da COVID-19 domina la scena cyber a livello globale, ma ci soffermiamo soprattutto su fatti emersi nel panorama italiano.
In particolare, è stata rilevata una campagna di distribuzione del malware per Android Anubis che ha sfruttato sia comunicazioni fraudolente a tema Coronavirus che il brand dell’Istituto Nazionale della Previdenza Sociale (INPS). Gli attaccanti hanno attivato un dominio che imita quello legittimo dell’INPS; sulla homepage sono presenti un link e un QR code che consentirebbero il download di un’applicazione per la richiesta di un buono in denaro.
Inoltre, le piattaforme didattiche e il registro elettronico scolastico gestiti da Axios Italia – che ospitano diversi strumenti per la scuola digitale e sono quindi molto utilizzate in questi giorni – sono stati target di attacchi di tipo DDoS. Sono in corso i lavori di ripristino ed è in preparazione una denuncia che verrà inoltrata alla Polizia Postale.

Nel frattempo, è emerso che i dati di oltre 600.000 utenti del provider di posta italiano Email[.]it sono stati messi in vendita sul dark web. La violazione, che sembra risalire addirittura a due anni fa, è stata rivendicata da NoName Hacking Group, che sta vendendo i dati per cifre che vanno da 0,5 a 3 bitcoin (3.500 e 22.000 dollari USA).
Sempre in Italia, si registrano questa settimana due diverse azioni hacktiviste del collettivo Anonymous Italia (alias LulzSecITA).
La prima riguarda la compromissione di un sottodominio del portale di Confindustria di Piacenza e, più specificatamente, quello del CRM (customer relation management). Il gruppo dichiara di possedere un leak di dati provenienti da tale sito che verrà pubblicato solo alla fine dell’emergenza sanitaria.
La seconda, più articolata, è una vera e propria operazione contro il revenge porn e la pedopornografia, avviata dopo la scoperta di un canale Telegram italiano riservato a queste attività. Sotto l’hashtag #OpRevengeGram, il collettivo ha invitato tutti ad unirsi alla sua battaglia condividendo informazioni su un canale IRC creato appositamente.

Sulla scena internazionale, la crew che distribuisce il ransomware Maze ha colpito una compagnia attiva nel settore petrolifero in Algeria. Si tratta, nello specifico, della Groupement Berkine, alla quale i criminali sono riusciti a sottrarre numerosi documenti sensibili, fra cui record finanziari, piani di business e di investimenti.

Questa settimana sono state monitorate anche le attività di tre diverse botnet, di cui due di recente scoperta. La prima è DarkNexus, pensata per lanciare attacchi DDoS sfruttando dispositivi IoT, in particolare quelli di Dasan Zhone, Dlink e ASUS; per il momento, la maggior parte delle infezioni è stata registrata in Cina.
La seconda botnet è stata identificata come Hoaxcalls e viene distribuita sfruttando la falla dei dispositivi Drayek Vigor CVE-2020-8515 e quella di Grandstream UCM6200 CVE-2020-5722. Hoaxcalls è basata sul codice della famiglia Gafgyt/Bashlite, malware per IoT che sono in grado di lanciare una varietà di attacchi DDoS.
Infine, sono state apportate delle modifiche alla botnet DDG, attiva da molto tempo e che mina la moneta virtuale Monero. La principale novità della nuova versione, la v5023, è da ricercarsi nell’utilizzo di un protocollo P2P auto-sviluppato pensato per costruire un network misto peer-to-peer. Al momento, i bot attivi supererebbero i 17.000 solo nella Cina continentale, circa l’86% del totale, mentre il restante 14% sarebbe localizzato in altri paesi.

Sul fronte delle campagne APT, citiamo Operation Shadow Force, un’operazione di lungo corso condotta dal gruppo di matrice cinese Axiom e che colpisce principalmente aziende e organizzazioni coreane lanciando attacchi basati su un malware omonimo (Shadow Force) e su un tool chiamato Wgdrop. Al momento non è chiaro come avvengano le intrusioni ma si sospettano infezioni tramite mail di phishing oppure tramite server SQL vulnerabili. Le vittime accertate di questa operazione risultano una ventina.

Un’altra campagna APT è stata attribuita al gruppo sudcoreano DarkHotel, ritenuto responsabile di una serie di attacchi basati sulla compromissione di server VPN e mirati contro missioni diplomatiche cinesi all’estero e agenzie governative di Pechino e Shanghai. Le vittime di questa campagna risultano localizzate in numerosi paesi europei, mediorientali e asiatici.

Oltre ai bollettini di sicurezza di B&R Automation, Apple, Fortinet, Firefox, Google, Fuji Electric, GE Digital, Advantech, Chrome, Juniper e VMware, questa settimana segnaliamo due 0-day critici di Firefox già sfruttati in-the-wild. Le due falle, CVE-2020-6819 e CVE-2020-6820, sono entrambe di tipo use-after-free. Attaccanti remoti non autenticati potrebbero indurre le potenziali vittime avisitare un sito web malevolo per sfruttare queste due vulnerabilità e, successivamente, eseguire codice arbitrario o innescare arresti anomali sulle macchine che eseguono versioni non aggiornate del browser di Mozilla.