WEEKLY THREATS

Weekly Threats N. 38 2020

18 Settembre 2020

Grande spazio prendono, questa settimana, le notizie che giungono dagli Stati Uniti su operazioni sponsorizzate dai Governi cinese e iraniano e sulle attività svolte in merito dal Dipartimento di Giustizia (DoJ) e dall’FBI; numerose sono anche le campagne cybercrime che hanno preso di mira utenze email italiane; non si fermano, poi, gli attacchi basati su ransomware; emerge, infine, la PoC per una vulnerabilità grave di Windows.

La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato un alert riguardo un’ondata di attacchi lanciati da gruppi APT affiliati al Ministero della Sicurezza di Stato (MSS) cinese. Nell’ultimo anno i team in questione avrebbero scansionato le reti del governo americano nel tentativo di compromettere dispositivi impattati dalle seguenti vulnerabilità: CVE-2020-5902 di F5 Big-IP, CVE-2019-19781 delle appliance Citrix, CVE-2019-11510 di Pulse Secure VPN e CVE-2020-0688 dei server di posta elettronica di Microsoft Exchange.
Nel frattempo, il Dipartimento di Giustizia (DoJ) ha incriminato cinque cittadini cinesi dipendenti della Chengdu 404 Network Technology, azienda connessa al Partito comunista cinese, per aver condotto attività di cyber-spionaggio; gli uomini sarebbero fra gli operativi della galassia APT41 (Axiom) e nello specifico dei due gruppi Blackfly e Grayfly. Fra le altre persone raggiunte da capi di accusa vi sono anche due cittadini malesi che avrebbero tratto profitto dalle intrusioni nei sistemi di aziende dell’industria del gaming.
Ancora la CISA ha tracciato operazioni sponsorizzate da Teheran contro agenzie federali USA. Pioneer Kitten, questo il nome del gruppo, avrebbe sfruttato exploit per CVE-2019-11510 e CVE-2019-11539 del virtual private network Pulse Secure, CVE-2019-19781 di Citrix NetScaler e CVE-2020-5902 di F5 per ottenere e mantenere l’accesso alle reti target.
Due sono le indagini che hanno portato all’individuazione di alcuni cittadini iraniani responsabili di azioni condotte contro organizzazioni di mezzo mondo. L’FBI ha incriminato 3 individui, uno dei quali membro dell’Iran Islamic Revolutionary Guard Corps (IRGC), per aver colpito organizzazioni e società straniere coinvolte nel settore aerospaziale e satellitare ed enti governativi internazionali di Stati Uniti, Gran Bretagna, Singapore, Australia e Israele. Il DoJ ha invece messo sotto accusa due uomini residenti nella città di Hamedan; dovranno rispondere, fra l’altro, del furto di comunicazioni riservate relative alla sicurezza nazionale, dati aerospaziali, informazioni finanziarie e proprietà intellettuale.
Gli iraniani continuano, inoltre, a lanciare campagne di spionaggio interno contro espatriati, minoranze etniche e dissidenti. La più recente è stata battezzata Rampant Kitten e ha visto un notevole dispiegamento di mezzi, compresi tool per Windows e Android e pagine di phishing per utenze Telegram.
Washington deve anche fronteggiare, da qui alle Presidenziali di novembre, il rischio di nuove compromissioni di matrice russa; una indagine rilasciata negli ultimi giorni mette in guardia sull’attivazione di numerosi domini di reindirizzamento che imitano nel nome quelli dei due candidati. A differenza delle precedenti elezioni del 2016, gli avversari di Mosca sembrano aver scelto un profilo più subdolo, preferendo alle compromissioni dirette azioni di indirizzamento dell’opinione pubblica basate sulla diffusione di notizie manipolate.

Quanto al panorama cybercrime italiano, si registrano campagne di distribuzione di malware come MassLogger, Qakbot, sLoad. Intanto, Ursnif continua ad abusare del logo dell’INPS, LokiBot ha sfruttato il nome della Banca Monte dei Paschi di Siena, il RAT Ave_Maria ha utilizzato il tema del brokeraggio finanziario, Agent Tesla è stato veicolato da comunicazioni che sembravano provenire dalle fantomatiche aziende Auren e Al Barrak Plastic Company.

In ambito globale, i ransomware non conoscono pause. Due di queste minacce, il cui nome non è stato reso noto, hanno bloccato rispettivamente il network della Development Bank of Seychelles (DBS) e i sistemi dello University Hospital Düsseldorf (UKD) in Germania; SunCrypt ha invece raggiunto University Hospital New Jersey, portandosi via anche documenti riservati che sono stati già parzialmente rilasciati. Maze continua ad affinare le proprie TTP: il Maze Team sembra aver mutuato una tecnica dai “colleghi” di Ragnar Locker, che consente di nascondere il payload all’interno di una macchina virtuale (VM) e consegnarlo in un file di installazione .msi.

Chiudiamo la nostra rassegna con la notizia del rilascio di due PoC per la vulnerabilità Zerologon (CVE-2020-1472) di Windows, corretta da Microsoft lo scorso agosto; un difetto presente nell’algoritmo di crittografia del Netlogon Remote Protocol (MS-NRPC) e, si scopre ora, anche in Samba consente di forzare il domain controller e falsificare il proprio accesso.

 

[post_tags]