Weekly Threats N. 17 2020

Apriamo la nostra rassegna con un data breach di particolare rilievo che ha riguardato Unicredit. Sono state messe in vendita su più hacking forum informazioni di oltre 3.000 dipendenti dell’istituto finanziario. Tra di esse compaiono nomi e password cifrate, numeri di telefono e indirizzi e-mail, a quanto pare tutte risalenti alla fine del 2018 e al 2019.

Con un secondo data breach prende avvio la sezione dedicata alle attività che stanno sfruttando il tema della pandemia da Coronavirus. Nello specifico, ha coinvolto circa 25.000 indirizzi email e relative password della WHO (World Health Organization), della NIH (National Institutes of Health), della Gates Foundation e di altre realtà che stanno affrontando direttamente l’emergenza COVID. Il leak, di cui non è ancora nota la provenienza, è stato inizialmente pubblicato sulla piattaforma 4chan per poi diffondersi su Pastebin, Twitter e su canali Telegram legati all’estremismo di destra.

Fra le operazioni APT citiamo quella condotta dal gruppo vietnamita APT32 che ha colpito la municipalità di Wuhan e il Ministry of Emergency Management cinese. Gli attaccanti si sono serviti di un RTF malevolo a tema COVID-19 per reperire informazioni sensibili relative all’epidemia tramite la minaccia METALJACK.
Anche Gamaredon, gruppo state-sponsored russo, ha condotto una campagna di spear phishing basata su questo tema inviando via posta elettronica allegati contenenti macro malevole, in grado di eseguire script VB.
Sono numerosissime anche le attività criminali che cavalcano quest’onda. Intanto, fra il 1 gennaio e il 31 marzo una firma di sicurezza ha infatti tracciato oltre 116.000 nuovi domini registrati con nomi che alludevano alla minaccia biologica; circa 40.000 di questi sono risultati ad alto rischio, mentre oltre 2.000 erano sicuramente malevoli.
Inoltre, un’operazione ha distribuito il RAT Remcos tramite mail di spear phishing con un allegato malevolo. Le vittime sono state indotte a credere che si trattasse di una comunicazione proveniente dalla compagnia produttrice di dispositivi medici Lifotronic. Un’altra ha sfruttato invece il brand della WHO per indirizzare le vittime ad un sito di phishing di credenziali; un messaggio di posta elettronica che sembrava dell’Organizzazione Mondiale della Sanità riportava un link dal quale sarebbe stato possibile scaricare il sedicente “Relief Package”.

Passando ad attività non correlate al tema del virus, sono state tracciate nuove campagne basate sull’impiego di credenziali Active Directory sottratte sfruttando la vulnerabilità CVE-2019-11510 di Pulse Secure SSL VPN. Fra le vittime sembra vi siano anche strutture ospedaliere e entità governative statunitensi.
Segnaliamo poi che negli ultimi giorni è stata individuata una nuova variante della botnet per IoT Hoaxcalls che non si diffonde più soltanto tramite le falle dei dispositivi DrayTek Vigor e Grand stream UCM6200 (CVE-2020-8515 e CVE-2020-5722), come visto in precedenza, ma anche tramite una vulnerabilità non risolta che impatta Zyxel Cloud CNM SecuManager.
Lato ransomware: Maze ha colpito la multinazionale statunitense specializzata in servizi digitali Cognizant e DoppelPaymer ha raggiunto i sistemi della kosovara Banka Ekonomike e della città californiana di Torrance.

Le campagne di più ampio respiro coinvolgono due APT di matrice cinese. In primis Evil Eye, che da gennaio sembra aver ripreso le sue attività di spionaggio contro la minoranza etnica degli Uiguri. Evil Eye si è servito di un framework opensource chiamato IRONSQUIRREL che viene caricato sui vari siti compromessi, e di un implant identificato come INSOMNIA, probabilmente una versione aggiornata del tool già utilizzato per questa campagna. La maggior parte degli attacchi sono stati lanciati dal portale ufficiale della Uyghur Academy, ma in alcuni casi anche dal sito della testata online Uighur Times.
Sono state inoltre monitorate attività APT che hanno colpito società dell’industria dei materiali semiconduttori localizzate a Taiwan, nell’ambito di una campagna battezzata Operation Skeleton Key. L’attore – verosimilmente promosso da Pechino e individuato col nome Chimera – ha avuto come obiettivo la sottrazione di informazioni su chip e design dei controller industriali, SDK, codici sorgente, ecc.
Infine, segnaliamo che un ricercatore di sicurezza avrebbe recentemente scoperto quale APT si nasconde dietro una delle sedici firme non identificate contenute nel misterioso file sigs.py, appartenente al celebre leak degli Shadow Brokers. In particolare, si tratta della firma #37, finora erroneamente attribuita al gruppo cinese Iron Tiger (alias Emissary Panda) e che oggi viene invece associata ad un nuovo APT identificato come Nazar, attivo dal 2008 e probabilmente sponsorizzato dal governo iraniano.

Per quanto concerne le vulnerabilità, sono stati rilasciati alcuni aggiornamenti per singole falle da IBM, Microsoft, OpenSSL e Joomla. Ma sono state le due vulnerabilità 0-day che affliggono i dispositivi iPhone e iPad a far parlare maggiormente di sé, perché già sfruttate per una serie di attacchi remoti ancora in corso che stanno colpendo gli utenti iOS almeno da gennaio 2018. L’attacco è realizzabile semplicemente inviando una mail appositamente creata alla casella di una vittima nel contesto dell’applicazione iOS MobileMail su iOS 12 o iOS 13. Secondo i ricercatori, i due bug potrebbero essere stati sfruttati in concomitanza con una terza vulnerabilità del kernel che fornirebbe pieno accesso al dispositivo. Sembra anche probabile che gli attacchi siano correlati con almeno un gruppo state-sponsored o direttamente con uno stato nazionale che ha acquistato l’exploit da terze parti.

[post_tags]