WEEKLY THREATS

Weekly Threats N. 35 2020

28 Agosto 2020

La rassegna di questa settimana è dedicata quasi interamente a tematiche cybercrime di vasto respiro, cui si aggiungono dei focus su operazioni che hanno colpito il settore finanziario e segnalazioni riguardanti alcune vulnerabilità.

Intanto, sono stati scoperti due nuovi gruppi, individuati dagli analisti rispettivamente come TA2719 e DeathStalker. Il primo conduce perlopiù campagne di spear phishing basate su documenti che imitano loghi delle Forze di Polizia o di noti spedizionieri e si avvale di minacce come NanoCore e AsyncRAT. L’altro, di stampo mercenario, utilizza il tool Powersing e ha cavalcato anche l’onda della pandemia da Coronavirus.
Un altro gruppo di avversari prezzolati, di cui però non è noto il nome, ha compromesso i sistemi di uno studio di architettura coinvolto in progetti immobiliari di lusso. Le tecniche messe in atto ricordano quelle di un APT: gli avversari si sono serviti di una vulnerabilità di Autodesk 3ds Max che consente l’esecuzione di codice su un sistema Windows ed è sfruttabile tramite il plugin malevolo “PhysXPluginMfx”.

Il panorama ransomware si è arricchito di due nuovi codici. DarkSide è una minaccia che viene customizzata per ciascun target e gestita nell’ambito di attacchi human-operated. Questo crypter, che preserva reti localizzate nell’area dell’ex-Unione Sovietica, presenta alcune somiglianze con il noto ransomware REvil; inoltre, dispone di un sito sul quale vengono rilasciati i dati delle vittime che non pagano il riscatto.
SunCrypt, invece – distribuito grazie ad una DLL e installato attraverso uno script PowerShell fortemente offuscato – è entrato a far parte del cosiddetto “cartello Maze“.
Torna a colpire anche il noto Dharma/Crysis, protagonista di campagne financially-motivated condotte da avversari iraniani contro aziende localizzate in Russia, Giappone, Cina e India.

Sul versante cryptominer emerge Lemon_Duck; pensato per colpire soprattutto sistemi Linux, è stato distribuito grazie a documenti sul tema della pandemia e si diffonde nei sistemi sfruttando i bug CVE-2017-8570 (Composite Moniker) e CVE-2020-0796 (SMBGhost). Nel frattempo, si registrano guai per alcuni dei maggiori fornitori di servizi finanziari del mondo – fra cui MoneyGram, YesBank India, PayPal, Braintree, Venmo e la Borsa della Nuova Zelanda (NZX) – colpiti da attacchi DDoS a scopo estorsivo.
Sempre in ambito finanziario, la Corea del Nord fa parlare ampiamente di sé. Un alert governativo statunitense riporta i dettagli di “FastCash 2.0“, una serie di compromissioni realizzate contro istituti bancari in tutto il mondo e attribuite aI gruppo BeagleBoyz – che sembra coincidere con Lazarus. I furti di denaro sarebbero avvenuti tramite transazioni fraudolente (spesso condotte sfruttando il sistema internazionale SWIFT) e attraverso prelievi dagli ATM. Attribuzione più sicura a Lazarus è quella di una campagna globale che ha colpito in 14 paesi, tra cui USA e Regno Unito, fra le cui vittime compare una compagnia che gestisce criptomoneta.

Le attività di Ursnif in Italia non conoscono sosta; negli ultimi giorni sono state tracciate due ondate di email di phishing che in un caso hanno sfruttato il tema del COVID19 e nell’altro hanno imitato comunicazioni dell’INPS indirizzate ad aziende private.

Chiudiamo con la segnalazione di due bollettini di sicurezza per Chrome e Safari. Il browser di Google è stato aggiornato alla versione 85 per tutte le piattaforme; fra le vulnerabilità corrette, tuttavia, non compare la CVE-2020-6492 (use-after-free in WebGL che consente esecuzione di codice nel contesto del processo del browser), segnalata alcuni giorni fa da Cisco Talos e data per risolta in questo nuovo rilascio. Quanto a Safari, un ricercatore ha rilevato un bug nell’implementazione dell’API Web Share, un nuovo standard web che ha introdotto un’API cross-browser per la condivisione di testo, collegamenti, file e altri contenuti. La PoC dell’exploit è pubblica, ma Apple tarda nella pubblicazione delle correzioni.

[post_tags]