WEEKLY THREATS

Weekly Threats N. 34 2020

21 Agosto 2020

Questa settimana sono stati scoperti alcuni nuovi malware. Fra questi citiamo: un infostealer battezzato PurpleWave commercializzato su hacking forum di lingua russa e pensato per rubare informazioni, file di sessione per Telegram, dati delle applicazioni Steam e informazioni su wallet Electrum e per scaricare ulteriori malware; una nuova botnet P2P chiamata FritzFrog che, solo nel 2020, ha già compromesso almeno cinquecento fra server aziendali e governativi. Il suo scopo è quello di minare criptomoneta Monero da sistemi Linux grazie al noto miner XMRig. Sono stati colpiti non solo enti governativi ma anche del settore dell’educazione della finanza, della sanità, delle telecomunicazioni e dei trasporti; infine, è emerso un nuovo worm con funzioni di cryptominer in grado di rubare le credenziali AWS dai server infetti. Il malware in questione sarebbe stato creato da un gruppo identificato come TeamTNT che, almeno dallo scorso aprile, lancia scan della rete alla ricerca di sistemi Docker e installazioni Kubernetes malconfigurati.

Per quanto riguarda gli APT, segnaliamo una campagna condotta dal gruppo legato al governo del Pakistan Barmanou contro personale militare e governativo in almeno 27 paesi, ma con particolare focus in India e in Afghanistan. Tale operazione viene ora condotta grazie a Crimson RAT e un nuovo componente pensato per infettare dispositivi USB e diffondersi ad altri sistemi: USBWorm.
Recenti attività sono state rilevate anche per il gruppo russo Gamaredon, da cui si teme un attacco coordinato contro enti statali ucraini e infrastrutture critiche alla vigilia dell’Indipendence Day e durante la preparazione delle prossime elezioni locali.
Spostandoci in estremo Oriente, segnaliamo che il governo di Taiwan ha accusato gruppi state-sponsored di matrice cinese di aver infiltrato almeno 10 agenzie governative taiwanesi, ottenendo l’accesso a circa 6.000 account di posta elettronica nel tentativo di rubare dati. In particolare, sarebbe stato chiamato in causa l’APT noto come Leviathan (alias APT40).
In sud America è tornato a colpire Blind Eagle (APT-C-36) che per raggiungere target colombiani in diversi settori ha inviato mail di phishing mirate allo scopo di distribuire AsyncRat. Tra i temi sfruttati nei messaggi anche quello della pandemia COVID.
Infine, l’agenzia statunitense CISA ha pubblicato un alert in cui rilascia i dettagli relativi ad una famiglia di malware recentemente scoperta sviluppata da gruppi state-sponsored di matrice nordcoreana. La minaccia, identificata come BLINDINGCAN (o DRATzarus), è già stata utilizzata per colpire compagnie del settore aerospaziale e della difesa militare, sia negli USA che in altri paesi.

Alcune vulnerabilità sono state risolte con bollettini di sicurezza e update singoli per i prodotti Siemens, Apache Struts, Cisco, Chrome e Schneider Electric. Ricordiamo in particolare che Jenkins ha risolto una vulnerabilità critica del web server Jetty che potrebbe provocare il danneggiamento della memoria e consentire la divulgazione di informazioni riservate. La falla, identificata con CVE-2019-17638, ha ricevuto CVSS 9.4 e consentirebbe ad avversari non autenticati di ottenere header di risposta HTTP che possono includere dati sensibili destinati a un altro utente.

Sul fronte data breach è degna di nota la vicenda che ha coinvolto l’organizzazione per la formazione e la certificazione nell’ambito della cyber-security SANS. È stata infatti scoperta ua compromissione resa possibile da un attacco di phishing in cui sarebbe caduto uno dei dipendenti della società. L’attacco ha consentito agli avversari di accedere agli account mail e di configurare una regola che inoltrava tutti i messaggi di posta elettronica ricevuti da questo account ad un “indirizzo di posta elettronica esterno sconosciuto“.

Concludiamo la rassegna settimanale con due attacchi ransomware che hanno colpito in un caso Il colosso tecnologico giapponese Konica Minolta (grazie alla minaccia RansomEXX) e nell’altro la Carnival Corporation, il maggiore operatore di crociere al mondo.

[post_tags]