Weekly Threats N. 16 2020

Su una scena sempre dominata da campagne di varia natura a tema COVID-19, il Coronavirus responsabile della pandemia che sta tenendo il mondo col fiato sospeso, questa settimana abbiamo dato conto anche di numerosi casi di attacchi ransomware, della nuova azione firmata da LulzSecITA, di una pericolosa compromissione subitadall’aeroporto internazionale di San Francisco e di una serie di bollettini di sicurezza per software ed hardware.
In Azerbaigian sono stati colpiti settori pubblici e privati da attori che non sono al momento riconducibili a entità note. Un’articolata operazione di spear-phishing che ha sfruttato documenti fake del DRDO (l’Organizzazione R&G del Ministero della Difesa Indiano) e del Governo azero su questioni riguardanti il COVID-19 ha distribuito una nuova minaccia – identificata come PoetRAT – che garantisce il controllo completo dei dispostivi target.
Senza attribuzione è anche Project Spy, basata su spyware per dispositivi Android e iOS che si spacciano per le utility chiamate “Coronavirus Updates” e “Wabi Music”.
In Siria, invece, è riemerso il team filogovernativo che si firma Syrian Electronic Army (SEA) e che gli analisti chiamano anche Deadeye Jackal; gli attaccanti hanno sfruttato oltre 70 applicazioni Android mascherate da utility a tema COVID-19 per distribuire i 3 tool di spionaggio SandroRAT, AndoServer e SLRat.
Nel cono d’ombra di questo tema ricadono due incidenti occorsi alla piattaforma di videoconferenze Zoom. In un forum underground sono state rilasciate credenziali di accesso ad account personali ed aziendali (combinazioni di indirizzi email/password e in alcuni casi, anche il PIN delle sessioni aperte, gli ID dei meeting e le host key). Inoltre, sarebbero in vendita nel dark market gli exploit per due bug 0-day che affliggono i client Windows e macOS; per il primo il prezzo fissato ammonterebbe a 500.000 dollari.
In Italia, gli hacktivisti anonimi hanno reso operativa #OpRevengeGram – lanciata la settimana scorsa e volta a contrastare attività di pedopornografia e Revenge Porn in Internet – pubblicando l’identità di alcuni dei partecipanti al canale Telegram divenuto noto per questi contenuti.
Passiamo ai ransomware. Vittime eccellenti per Maze, che colpisce due firme legali dell’ordine canadese The Law Society of Manitoba, e per Ragnar Locker, che sembra aver richiesto un riscatto gigantesco al colosso Energias de Portugal (EDP); guai anche per la Mediterranean Shipping Company, la cui sede centrale di Ginevra ha dovuto fronteggiare diversi disservizi nel weekend di Pasqua a causa di un ransomware di cui non è stato rivelato il nome. Ignoto anche quello che ha bloccato il portale del comune torinese di Marentino, che ora rischia di dover pagare 100.000 euro per recuperare i dati personali dei propri utenti.
Vista la serrata e massiccia concorrenza, gli operatori di Nemty hanno invece deciso di interrompere le attività as-a-service e di trasformare la propria minaccia in uno strumento riservato ad una ristretta crew e dotato di nuove funzioni.
Non si fermano le attività APT e, in particolare, ne segnaliamo due di matrice russa. Sandworm ha compromesso i sistemi dell’aeroporto internazionale di San Francisco (SFO) e ha rubato le credenziali di accesso di alcuni utenti dei portali SFOConnect[.]com e SFOConstruction[.]com. Intanto, emergono dettagli di una vasta operazione di disinformazione ai danni di Georgia ed Estonia firmata dal Governo di Mosca e battezzata dagli analisti “Operation Pinball“.
Chiudiamo con i consueti bollettini di sicurezza che sono stati pubblicati da Rockwell Automation, SAP, Adobe, Siemens, Oracle, Intel, VMware, Cisco. Ma prestiamo particolare attenzione a quello mensile di Microsoft, che contiene patch per 113 vulnerabilità, di cui 3 già sfruttate in the wild; due di esse sono le RCE (remote code execution) tracciate con CVE-2020-1020 e CVE-2020-0938 e una è di tipo privilege escalation, individuata con codice CVE-2020-1027.