Weekly Threats N. 27 2020

Questa settimana sulla scena crime italiana si sono ripresentate campagne di distribuzione di JasperLoader e Ursnif; la prima mediante comunicazioni PEC che sembravano provenire dall’INAIL, l’altra con email che si fingevano dell’Agenzia delle Entrate. Riemerge poi un gruppo che aveva fatto parlare di sé diversi anni fa in relazione a violazioni contro siti di giornali locali. Si tratta di un team che gestisce il portale “DarkCrew” e al quale gli analisti si riferiscono col nome “DarkcrewFriends”. La loro infrastruttura, basata su canali IRC, mira a distribuire minacce di vario tipo e a coordinare attacchi di tipo DDoS. Lieve battuta di arresto, invece, per gli hacktivisti LulzSecITA e Anonymous Italia, i cui account Twitter sono stati disattivati; sul nuovo profilo registrato prontamente dal primo team è comparso un messaggio che preannuncia ripercussioni.

A livello internazionale segnaliamo soprattutto attività state-sponsored e campagne ransomware.
Il Governo turco ha affidato a StrongPity (alias Promethium) l’ennesima campagna di spionaggio contro utenti curdi localizzati soprattutto in Turchia e in Siria, ma anche in Colombia, India, Canada e Vietnam. E sempre una minoranza etnica, quella degli uiguri, risulta essere il principale target di una serie di 4 tool per Android che gli analisti associano a diversi team di matrice cinese, uno dei quali sembra essere Mirage (alias APT15). SilkBean, DoubleAgent, GoldenEagle e CarbonSteal – questi i nomi delle minacce – hanno colpito anche individui in Cina, Sud-est asiatico, Medio Oriente, Kazakistan e regioni limitrofe dell’ex URSS, Egitto e Francia.
Parliamo ancora di Cina in relazione ad ennesimo episodio della longeva campagna Roaming Mantis, basata sul malware per Android FakeSpy. Se in passato il maggior numero di vittime si è registrato fra utenti che parlano la lingua coreana e il giapponese, ora si segnalano infezioni anche in Cina, Taiwan, Francia, Svizzera, Germania, Regno Unito e USA.
Vecchie e nuove minacce popolano l’orizzonte ransomware. Intanto, la University of California San Francisco è stata costretta a pagare 1,14 milioni di dollari per ripristinare i sistemi bloccati da NetWalker. Nel frattempo, il portale “Happy Blog” di REvil (alias Sodinokibi) si è aperto a ulteriori attività criminali; ora le vittime di questa minaccia rischiano la messa all’asta dei propri dati attraverso un sistema che garantisce il pieno anonimato. Infine, è stata tracciata una minaccia per macOS che si presenta come un ransomware ma che potrebbe invece rivelarsi un wiper con funzioni di infostealer. Individuato come EvilQuest, il malware viene distribuito tramite installer trojanizzati di popolari applicazioni.

Sul versante vulnerabilità vi sono alcune segnalazioni di rilievo. Microsoft ha pubblicato un aggiornamento di sicurezza out-of-band per correggere due falle nella libreria Codecs di Windows identificate rispettivamente con CVE-2020-1425 e CVE-2020-1457; si tratta di RCE (remote code execution) che possono essere sfruttate grazie ad un file immagine appositamente creato.
La CVE-2019-19781 che impatta Citrix NetScaler/ADC continua a dare filo da torcere. Gli exploit noti si basavano su una serie di bug che, se sfruttati in catena, consentivano di eseguire codice da remoto; sebbene molti di quei problemi siano stati corretti, alcuni ricercatori di sicurezza hanno scoperto che sono possibili altri tipi di chain e che le minacce realizzate e già tracciate in the wild (alcune backdoor basate su file Perl) sono ancora in grado di nuocere.
Falle critiche sono state rilevate da ricercatori di sicurezza in Apache Guacamole; il loro sfruttamento è stato verificato in due diversi contesti, battezzati “Reverse Attack Scenario” e “Malicious Worker Scenario” che consentono di eseguire codice da remoto con la possibilità di prendere il controllo del processo guacd di Guacamole quando un utente prova a collegarsi al device compromesso. Tracciate come CVE-2020-9497 e CVE-2020-9498, sono state risolte nella versione 1.2.0.
La compagnia F5 Networks, infine, ha dovuto correggere una vulnerabilità critica insita in una delle sue famiglie di prodotti, l’application delivery controller (ADC) BIG-IP; tracciata con codice CVE-2020-5902, è di tipo Remote Code Execution (RCE) e permette ad un attaccante non autenticato con accesso alla TMUI (Traffic Management User Interface) di eseguire comandi arbitrari, cancellare o creare file, disabilitare servizi ed eseguire codice Java arbitrario.

Chiudiamo con la notizia di un’operazione di polizia che ha consentito di smantellare la piattaforma di comunicazioni cifrate EncroChat, sfruttata principalmente per pianificare attività criminali. Iniziata nel 2016 dalle forze di polizie del Regno Unito, che l’hanno ribattezzata Operation Venetic, l’azione ha visto l’impegno anche delle autorità francesi e olandesi con il coordinamento di Europol ed Eurojust; nel complesso l’operazione ha portato nel complesso all’arresto di centinaia di persone.