WEEKLY THREATS

Weekly Threats N. 20 2020

15 Maggio 2020

La settimana che si sta chiudendo è stata dominata da notizie provenienti dal mondo APT.
Dall’arsenale del gruppo di matrice russa Turla emergono due novità. Una variante del trojan Reductor, impiegata in operazioni contro entità diplomatiche localizzate in Europa, e una variante del tool Penquin, che elude la detection spacciandosi per l’utility “cron” dei sistemi Linux.
Doppia scoperta anche in relazione a Lazarus. Le agenzie statunitensi CISA (Infrastructure Security Agency) ed FBI in collaborazione col Department of Defense (DoD) hanno reso note tre diverse minacce associabili all’APT nordcoreano: il RAT COPPERHEDGE e i trojan TAINTEDSCRIBE e PEBBLEDASH.
Nel frattempo, gli attori sponsorizzati dal Governo di Pyongyang hanno lanciato una cagmpagna di spear-phishing basata su documenti che sembrano inviati dalle compagnie BAE Systems e Boeing e dal Department of American Studies.

Alla Corea del sud, e nello specifico a DarkHotel, sarebbe invece da imputare un’operazione basata su Ramsay, un particolare toolkit per il cyber-spionaggio che prende di mira network air-gapped. Interesse degli attaccanti sono specifici documenti appartenenti a target selezionati. Gli analisti hanno rilevato due versioni di Ramsay, la seconda delle quali si presenta a sua volta in due diverse varianti (v1, v2.a, v2.b), ciascuna delle quali si affida a una diversa catena di infezione.
In Asia centrale continuano le attività di un gruppo cinese, scoperto nel 2017, al quale sono state associate diverse campagne perlopiù contro enti governativi, industrie del gas e società attive nel settore delle telecomunicazioni localizzati in Mongolia, Russia e Bielorussia. La minaccia sfruttata nell’episodio più recente (maggio 2020) è Mikroceen, un’evoluzione del già noto RAT Microcin, che stavolta ha operato in combo, fra l’altro, con Gh0st RAT e Mimikatz.
Sempre in Asia, ma nelle regioni meridionali, segnaliamo l’APT indiano Dropping Elephant che, avvalendosi del malware custom battezzato BackConfig, nel gennaio scorso ha avviato attacchi di spear-phishing contro due organizzazioni – una del settore governativo e l’altra di quello militare.
L’Australian Cyber ​​Security Centre (ACSC) segnala una serie differenziata di campagne di matrice governativa che non sono al momento associabili a realtà note e che hanno mietuto vittime fra organizzazioni del settore sanitario e strutture di ricerca medica del continente.
Ancora senza attribuzione è anche una operazione avviata nel 2018 che sta interessando la supply-chain del comparto Oil&Gas. Email di spear-phishing che si fingevano provenienti da realtà come la Petrofac, azienda fornitrice di servizi per l’industria petrolifera con sede in UK, hanno distribuito GuLoader, Netwire e AgentTesla. Fra i target comparirebbero nomi come WalterTosto SpA, ProMinent Group, De Palma Thermofluid e Maber Srl; ad essi andrebbe aggiunto, secondo alcuni ricercatori, anche quello della italiana Team Translation, specializzata in servizi di traduzione per varie realtà del settore energetico e già presa di mira in passato.
Fra i malware utilizzati in ambito crime segnaliamo l’inedito Poulight, un infostealer in .NET implementato in Russia che dispone di sofisticate feature per l’esfiltrazione dei dati. Di recente scoperta, ma attiva almeno dal 2016, è Mandrake: una vera e propria piattaforma di spionaggio dei dispositivi Android che utilizza anche un comando kill-switch. Quanto ai ransomware, Maze ha raggiunto i sistemi della compagnia statunitense di global business Pitney Bowes. Una curiosità non da poco; un sample di questo cryptor, che non è as-a-service, sarebbe stato rilevato nell’infrastruttura di alcuni criminali che si avvalgono di Sodinokibi – questo, sì, as-a-service. Le deduzioni del caso restano aperte.
Sul versante vulnerabilità, segnaliamo i bollettini mensili programmati di Microsoft (con oltre 100 vulnerabilità risolte) e SAP (con patch per una ventina di falle presenti nelle nuove Note e negli Update alle vecchie).
Advisory di sicurezza sono stati rilasciati anche per prodotti Advantech, SAE IT-systems, vBulletin, Adobe e, fra gli altri, per i plugin di WordPress Elementor Pro e Ultimate Addons for Elementor (i bug critici risolti non dispongono di CVE) e Ninja Form (CVE-2020-12462).
Inoltre, è stata pubblicata la PoC (proof of concept) del tool RoguePotato, un’evoluzione del già noto JuicyPotato, che si serve di una vulnerabilità non ancora corretta presente nell’architettura di Microsoft.
Infine, problemi gravi che richiederanno una riprogettazione dell’hardware riguardano invece la porta Thunderbolt 3. Un ricercatore della Eindhoven University of Technology ha rilevato un totale di 7 problemi di sicurezza che possono essere sfruttati in 9 scenari di attacco individuati come Thunderspy. Il ricercatore ha messo a punto il tool open-source Spycheckper Windows e Linux – che permette di valutare se un sistema è esposto a questo tipo di compromissioni ed, eventualmente, quali sono le misure da adottare.
Chiudiamo con un aggiornamento sui data leak firmati da Shiny Hunters. I responsabili del recente breach al repository GitHub di Microsoft avevano in precedenza rilasciato materiale sottratto allo store online Tokopedia (90 milioni di record) e al servizio di elearning Unacademy (22 milioni di record), tutti e due indonesiani. In seguito hanno messo in vendita i dati di HomeChef, ChatBooks, Chronicle[.], Bhinneka, Minted, Styleshare, Ggumim, Mindful, StarTribune e Zoosk, fino ad arrivare alla considerevole cifra di 73,2 milioni di record.

[post_tags]