Weekly Threats N. 33 2020

Questa settimana, se da un lato si è registrata una pausa nelle azioni hacktiviste, il panorama crime nazionale è risultato piuttosto vivace. Negli ultimi giorni sono state tracciate nuove campagne di distribuzione di malware via email. Emotet ha sfruttato allegati DOC con macro malevole, Ursnif è stato veicolato da false comunicazioni dell’INPS e Agent Tesla – protagonista di attacchi più vasti a tema COVID19 e basati sugli exploit per CVE-2017-11882 e CVE-2017-8570 – si è avvalso di allegati RTF. Una segnalazione specifica va fatta in merito ad Ursa Loader, che ha utilizzato il nome della compagnia italiana A.F. Energia S.r.l. Infine, sul versante phishing, sono state tracciate email che sfruttano il nome del Ministero delle Infrastrutture e dei Trasporti.

Le attività dei ransomware restano fra le più significative della scena crime internazionale. Nefilim ha colpito lo SPIE Group, leader europeo nel campo dei servizi tecnici nei settori energetico e delle comunicazioni, e DopplePaymer ha bloccato i sistemi della società Boyce Technologies che produce, fra l’altro, ventilatori per il trattamento dei malati di Coronavirus. Nel frattempo, Avaddon si è dotato di un sito per i leak e gli operatori del ransomware as a service Dharma hanno realizzato uno strumento che consente l’utilizzo di questa minaccia anche ad operatori non esperti.

Ci spostiamo sul fronte APT, dove sono emerse alcune novità. FBI e NSA hanno tracciato Drovorub, un tool per sistemi Linux sviluppato dal GRU russo e adottato dall’APT Sofacy.
Non ancora documentato sembra essere anche il responsabile di una campagna che sfrutta come tema i tragici eventi occorsi in Libano di recente; ReconHellcat – questo è il nome coniato dagli analisti – ha distribuito il malware BlackWater, che abusa della piattaforma Cloudflare Workers per comunicare con il proprio C2.
E intanto, il team nordcoreano Lazarus ha lanciato Operation “Dream Job”, una sofisticata campagna di spionaggio che ha preso di mira soprattutto target del settore della Difesa e compagnie governative in Israele e nel mondo, fra cui Boeing, McDonnell Douglas e BAE.
Ancora di spionaggio aziendale, ma di matrice verosimilmente russa, si parla in relazione a RedCurl; questo gruppo – le cui strategie di attacco sono in linea con quelle dell’APT RedOctober (alias CloudAtlas) – ha messo a segno 26 attacchi mirati contro 14 compagnie dei settori edile, della finanza e del consulting, delle rivendite, bancario, assicurativo, legale e dei viaggi localizzate in Russia, Ucraina, Canada, Germania, Regno Unito e Norvegia.

Gli utenti di prodotti SAP, Intel, Adobe, Citrix, Schneider Electric e del browser Chrome sono invitati ad aggiornare le proprie soluzioni per risolvere problemi anche critici. Particolare attenzione, poi, va portata ad un bug critico della piattaforma vBulletin. Il CVE-2019-16759, preso di mira in the wild dopo la pubblicazione di diverse PoC, sembrava ormai risolto; un ricercatore ha invece scoperto un modo per aggirare le patch, riaprendo di fatto la questione.
Chiudiamo con il bollettino mensile di Microsoft che corregge anche due vulnerabilità 0-day sfruttate in attacchi reali: CVE-2020-0986 e CVE-2020-1380. Quest’ultima impatta Internet Explorer ed è alla base di Operation PowerFall, associata all’attore sudcoreano DarkHotel.