Weekly Threats N. 29 2020

Nella settimana che si sta per concludere abbiamo registrato eventi di interesse soprattutto nella scena crime italiana, in quella APT associata al tema COVID-19 e sul versante vulnerabilità.
Il portale ufficiale dell’ENAC (Ente nazionale per l’aviazione civile) lo scorso 11 luglio ha subito un attacco ransomware che ha compromesso le funzionalità della posta elettronica e ha reso inaccessibili i database.
Sull’onda emotiva di questo evento, LulzSecITA, uno dei gruppi hacktivisti nostrani, ha rivendicato una propria compromissione ai sistemi dell’Aeroporto di Milano Malpensa, mostrando un elenco di database che sarebbero stati sottratti e minacciando la possibilità di manipolare i contenuti dei monitor dell’aeroporto.
L’installer CloudEyE, inizialmente identificato come GuLoader e commercializzato dal portale italiano CloudEye, è stato inserito per diversi mesi nell’arsenale del gruppo RATicate che, fra novembre 2019 e marzo 2020, ha lanciato almeno 14 diverse campagne, molte delle quali a tema COVID-19.
Nel frattempo, non si arrestano le ormai tradizionali campagne di distribuzione di malware: email PEC con riferimento a fantomatiche fatturazioni hanno veicolato allegati ZIP che avviano l’infezione delle macchine con sLoad.

A livello internazionale ha avuto una particolare eco la campagna firmata dal gruppo russo APT29 (alias “The Dukes” e “Cozy Bear”) ai danni di organizzazioni con base in Canada, USA e Regno Unito impegnate nella realizzazione del vaccino contro il Coronavirus. Gli avversari hanno sfruttato numerose vulnerabilità note – fra le quali CVE-2019-19781 (Citrix), CVE-2019-11510 (Pulse Secure), CVE-2018-13379 (FortiGate), CVE-2019-9670 (Zimbra) – e 3 tool battezzati WellMess, WellMail, SoreFang.
Emergono poi dettagli sui dump subiti dal gruppo state-sponsored iraniano OilRig (APT34), dal servizio di intelligence della Federazione Russa (FSB) e da agenti dei servizi segreti islamici della Guardia rivoluzionaria (IRGC). Fonti giornalistiche rivelano che il mandante sarebbe il Pesidente Trump il quale nel 2018 avrebbe dato alla CIA poteri speciali per condurre questo tipo di operazioni. Sempre in area iraniana, una firma di sicurezza è riuscita ad accedere ad un server controllato da ITG18, team che potrebbe avere connessioni con il noto Charming Kitten (alias Phosphorus); al suo interno sono stati trovati 40 GB di dati comprendenti video delle azioni malevole e contatti telefonici degli avversari.
Infine, un ricercatore di sicurezza ha reso nota via Twitter (e previo consenso delle Autorità italiane) una campagna di spear-phishing firmata dal team state-sponsored cinese Mustang Panda contro esponenti di spicco della Chiesa Cattolica di Hong Kong. Le vittime hanno ricevuto comunicazioni di funzionari della Città del Vaticano o news provenienti dall’Unione Cattolica Asiatica – tutte fraudolente e mirate a distribuire il RAT PlugX.
Di alto profilo sono anche gli account Twitter compromessi nel contesto di una frode finanziaria massiva. I profili ufficiali di Apple, Elon Musk, Jeff Bezos, Joe Biden, Barack Obama, Uber, Bill Gates sono stati abusati per lanciare un attacco coordinato di ingegneria sociale basato sulla pubblicazione di numerosi messaggi che tentavano di convincere gli ignari utenti ad inviare denaro in bitcoin.
Fra le novità in merito ai malware, segnaliamo BlackRock; questa minaccia per Android è in grado di rubare credenziali e informazioni relative a carte di credito da 337 applicazioni e ha già colpito soprattutto in Spagna, Gran Bretagna, Turchia, Australia e Germania.

Oltre ai numerosi bollettini di sicurezza per prodotti Apple, Oracle, Joomla!, Juniper, Adobe, Apache, Cisco, Intel e AMD, negli ultimi giorni si è parlato in particolare di 3 vulnerabilità che impattano, rispettivamente, soluzioni Microsoft, SAP e McAfee.
SIGRed, segnalata con codice CVE-2020-1350 (CVSS 10.0), è una RCE (remote code execution) “wormable” che persisteva in Windows DNS server almeno dal 2003; è stata finalmente corretta nel Patch Tuesday di luglio.
RECON (Remotely Exploitable Code on NetWeaver) è stata tracciata coi codici CVE-2020-6287 e CVE-2020-6286 ed è una falla altamente critica presente in un componente incluso in tutte le applicazioni SAP. Poco dopo la pubblicazione delle relative correzioni nel Security Patch Day di luglio, ne è stata rilasciata la PoC di un exploit.
Infine, una PoC dell’exploit è stata diffusa pubblicamente anche per il bug CVE-2020-7283 (di tipo Elevation of Privilege) riscontrato in McAfee Total Protection (versioni precedenti alla 16.0.R26).