Weekly Threats N. 19 2020

Apriamo il report di questa settimana puntando sulla scena cyber, dalla quale sono emerse due nuove minacce informatiche degne di nota: la prima è una botnet cinese scritta in Golang e identificata come Kaiji che lancia attacchi DDoS abusando di server Linux e dispositivi Internet-of-Things (IoT).
La seconda è invece un malware molto sofisticato per Android, battezzato EventBot, che combina le capacità di stealer a quelle di monitoraggio. Il malware arriva camuffato da applicazione legittima e abusa degli accessibility services. Prende di mira dati finanziari in tutta Europa e negli Stati Uniti, in particolare in Italia, Gran Bretagna, Germania, Francia, Spagna e Svizzera. Al momento risultano targhettizzate oltre 200 tra app di criptomoneta, servizi di money-transfer e applicazioni finanziarie per mobile, inclusi giganti come PayPal Business, Barclays, CapitalOne UK, Coinbase, Unicredit e Santander UK.
Fra le minacce note, colpisce ancora il ransomware Snake che mira anche ad aziende del settore sanitario. Pare infatti che sia stato colpito il maggior provider europeo di attrezzature ospedaliere: la tedesca Fresenius Group. La compagnia ha fatto sapere che l’incidente ha limitato alcune delle sue operazioni, ma che non è stata sospesa l’assistenza ai pazienti.
Segnaliamo poi una vasta e duratura campagna di phishing, lanciata da attori di matrice nigeriana e sudafricana, battezzata PerSwaysion. Gli attaccanti si sono serviti di un phishing-kit sviluppato da soggetti verosimilmente parlanti la lingua vietnamita. Fra le vittime si contano almeno 156 dirigenti di alto livello impiegati in aziende con base soprattutto in Germania, Regno Unito, Italia, Olanda, Hong Kong e Singapore attive, fra l’altro, nei settori finanziario, legale, energetico e immobiliare.
Sul versante APT, spiccano alcune notizie tutte relative all’Asia Pacifica. Recentemente è stata infatti identificata una nuova variante del RAT Dacls, attribuito all’APT nordcoreano Lazarus, pensata specificatamente per colpire sistemi basati su macOS. Questa nuova versione viene distribuita al momento tramite un’applicazione trojanizzata chiamata MinaOTP che fa uso dell’autenticazione a due fattori ed è adoperata prevalentemente in Cina.
Inoltre, il gruppo state-sponsored di matrice cinese Naikon sta conducendo varie attività di spionaggio contro entità governative in Asia Pacifica e in Oceania. Negli ultimi 5 anni sono stati colpiti Ministeri degli affari esteri e Ministeri delle aree tecnologico-scientifiche, oltre a compagnie a compartecipazione statale, di Paesi come Australia, Indonesia, Filippine, Vietnam, Thailandia, Myanmar e Brunei. Gli attaccanti si sarebbero serviti di un RAT non ancora documentato chiamato Aria-body, distribuito da tre diverse catene di infezione.
Sono stati poi tracciati, nell’arco di pochi giorni, due attacchi malware – verosimilmente ransomware – contro grandi compagnie con base a Taiwan attive nel settore petrolchimico: l’azienda statale CPC Corp e la compagnia privata Formosa Petrochemical. Fonti giornalistiche locali riportano l’ipotesi, non supportata da dati tecnici, che i due incidenti siano parte di un panorama più vasto di compromissioni motivate dall’inizio del secondo mandato per la Presidente Tsai Ing-wen, fissato per il prossimo 20 maggio.

Per quanto riguarda le vulnerabilità, il progetto open-source Salt, gestito da SaltStack, sono state corrette due falle altamente critiche (CVSS 10.0); CVE-2020-11651 di tipo authentication bypass, sfruttabile per eseguire comandi arbitrari come root e CVE-2020-11652 di tipo directory traversal. Entrambe le vulnerabilità sono già state sfruttate per lanciare alcuni attacchi in-the-wild.
Inoltre, il gigante della tecnologia Samsung ha risolto una vulnerabilità critica che riguarda tutti gli smartphone della compagnia venduti dal 2014 ad oggi. La falla, identificata con CVE-2020-8899, dipende dal modo in cui la libreria grafica Skia gestisce il formato immagine personalizzato Qmage (.qmg).
Numerosi bug sono stati segnalati in bollettini di sicurezza e advisory singoli di Android, TP-Link, Private VPN, Betternet, Advantech, Mozilla Firefox e Thunderbird, Chrome, Citrix ShareFile e Cisco.

Concludiamo la rassegna settimanale con la segnalazione di tre data breach. Il primo ha interessato GoDaddy, il servizio di web hosting che conta oltre 19 milioni di clienti in tutto il mondo. Il secondo il celebre quotidiano francese Le Figaro, che ha esposto circa 7,4 miliardi di record in un database Elasticsearch malconfigurato. L’ultimo ha coinvolto alcuni repository GitHub privati di Microsoft ed è stato rivendicato da un individuo che si firma Shiny Hunters.