Weekly Threats N. 26 2020

Apriamo la nostra rassegna settimanale sulla scena italiana con una serie di notizie di varia natura. L’operazione “Data Room“, coordinata dalla Procura della Repubblica di Roma e condotta dal CNAIPIC, ha portato all’individuazione di una rete criminale – con base fra Roma e la Campania – che ha sottratto nel giro di un anno e mezzo milioni di informazioni sensibili dalle data room di operatori telefonici attivi sul territorio nazionale e gestite direttamente da TIM.

Negli ultimi giorni, poi, sono state tracciate almeno 3 diverse campagne basate su messaggi di posta elettronica con allegati malevoli che hanno distribuito il malware Agent Tesla, il trojan bancario Lokibot e l’infostealer MassLogger. Il collettivo LulzSecITA, infine, ha rivendicato il breach al portale della Camera di Commercio Industria Artigianato e Agricoltura di Chieti e Pescara e una combinazione di breach e defacement a quello del Comune di Anzio (Roma); in entrambi i casi è stato di nuovo sfruttato un bug del CMS della società ISWEB.

Nel frattempo, il Dipartimento di Giustizia degli Stati Uniti ha accusato il cofondatore di Wikileaks, Julian Assange, di aver cospirato nel 2012 con i due noti collettivi hacktivisti Anonymous e LulzSec, chiedendo loro di compromettere alcuni target nonché di esfiltrare posta, documenti e database. Rimanendo in campo hacktivista, un altro fatto vede associati un gruppo dedito ai leak e gli anonymi. Un’organizzazione che si presenta come “alternativa” a Wikileaks e che si fa chiamare DDoSecrets (Distributed Denial of Secrets) ha invece rilasciato sul proprio portale la raccolta “BlueLeaks“, composta da 269 GB di informazioni rubate a oltre 200 fra Dipartimenti di Polizia, fusion center e altri realtà relative alle Forze dell’Ordine degli Stati Uniti. I dati sarebbero stati forniti a DDoSecretes da Anonymous e sono apparsi nel giorno di “Juneteenth”, nel quale si celebra la fine dalla schiavitù negli Stati Uniti.

Nel panorama crime internazionale, continuano a dominare i ransomware. FIN6 ha recentemente utilizzato PowerTrick e Cobalt Strike per lanciare la backdoor Anchor e il ransomware Ryuk, mentre TA505 (alias Evil Corp) ha distribuito il ransomware WastedLocker. Sodinokibi (alias REvil) ha poi aggiornato le proprie TTP e ora è in grado di fare uno scan delle reti infette alla ricerca di software Point-of-Sale (PoS); Maze ha allargato la platea delle vittime con la violazione dei sistemi, fra gli altri, della sudcoreana LG Electronics; il ransomware per Android CryCryptor si finge la tracing app canadese per il COVID-19.
Emerge anche una nuova minaccia “ibrida”, perché è pensata sia per attività di cryptojacking che per lanciare attacchi DDoS. Lucifer, questo è il nome, è in grado di sfruttare numerose vulnerabilità critiche e ad alto impatto di software come Rejetto HTTP File Server, Jenkins, Oracle Weblogic, Drupal, Apache Struts, Laravel framework e Microsoft Windows.
Per quanto riguarda le campagne state-sponsored, la Cina sembra essere fra le nazioni protagoniste. Leviathan (alias APT40) ha preso di mira ufficiali del Governo malese e un team verosimilmente attiguo a Pechino ha lanciato un’offensiva di spear-phishing contro entità governative del Myanmar. Infine, un attacco supply chain ha abusato di un software necessario per il pagamento delle tasse locali per esfiltrare informazioni a compagnie impegnate sul territorio del Sol Levante; gli avversari, che al momento non sembrano associabili ad alcuna entità già nota, hanno indotto le vittime a scaricare insieme al software legittimo “Intelligent Tax” anche la backdoor GoldenSpy.
È noto, invece, il responsabile di un’enorme campagna di sorveglianza globale che ha sfruttato alcune funzionalità dei browser e le caratteristiche dell’Internet Domain Registration per spiare e rubare dati da utenti in tutto il mondo e di numerosi settori. Secondo quanto emerso finora, questa attività è stata favorita dal registrar di domini Internet CommuniGal Communication Ltd. (GalComm). Dei 26.079 domini raggiungibili registrati tramite GalComm, quasi il 60%, ospitano una varietà di malware e tool di sorveglianza browser-based; solo negli ultimi tre mesi, sono state rilevate 111 estensioni di Chrome malevole o false.
Ancora tutto da analizzare l’attacco DDoS subito il 21 giugno scorso da una grande banca europea. Il flusso di dati ha raggiunto nel giro di secondi i 418 Gbps e in due minuti il picco di 809 Mpps (Million packets per seconds); il tutto durando meno di 10 minuti. Si sospetta l’impiego di una nuova botnet.

Chiudiamo con tre bollettini di sicurezza. AMD ha reso noti tre bug di tipo “SMM Callout Privilege Escalation” che affliggono appunto la tecnologia chiamata System Management Mode; di essi, il CVE-2020-14032 è stato corretto e gli altre due (di cui al momento è disponibile solo il codice CVE-2020-12890) riceveranno una patch alla fine del mese. BitDefender ha risolto un grave bug di tipo remote command execution relativo ad un componente del suo browser Safepay (CVE-2020-8102). Cisco ha segnalato che la vulnerabilità CVE-2020-10188 (CVSS 9.8), riscontrata nei server Telnet (telnetd), impatta anche Cisco IOS XE Software; al momento non sono disponibili patch, ma solo un workaround.

[post_tags]