Weekly Threats N. 40 2020

Campagne ransomware internazionali e malware in Italia, operazioni APT e una nuova variante della botnet Mirai: queste e altre notizie nel report proposto questa settimana.

Il panorama crime globale è sempre segnato da campagne ransomware che raggiungono anche vittime eccellenti. Fra di esse, il gigante assicurativo americano Arthur J. Gallagher (AJG), il produttore di orologi svizzero Swatch, la società texana Tyler Technologies che fornisce software a numerose entità governative USA. Ragnar Locker ha colpito lo spedizioniere francese CMA CGM; Ryuk ha creato disservizi a numerose strutture sanitarie dello Universal Health Services (UHS) statunitense e MountLocker ha continuato a mirare a reti aziendali, predisponendo anche un sito per il leak di informazioni.
Emerge, poi, una nuova minaccia derivata dal codice della botnet Mirai che è stata battezzata Ttint. Caratteristica di rilievo è lo sfruttamento in diversi frangenti di due vulnerabilità 0-day che impattano i router distribuiti dalla compagnia Tenda: la prima, ormai corretta, ha ricevuto codice CVE-2020-10987; l’altra è ancora in attesa di patch.

In Italia continuano le campagne basate su Dridex, MassLogger e Ostap. Le tematiche sfruttate di recente sono perlopiù quelle inerenti ad ordini o fatturazione. Email malevole inducono i destinatari ad aprire allegati o cliccare su link che avviano la catena di infezione.

Sul versante APT segnaliamo molte attività di varia tipologia.
Al gruppo AridViper, di matrice palestinese, è stato associato uno spyware per sistemi Android chiamato SpyC23. La minaccia è presente in the wild da maggio 2019, ma in aprile e giugno di quest’anno sono stati rilevati sample che imitavano l’app WeMessage all’interno di dispositivi localizzati in Israele.
Il team cinese conosciuto come Radio Panda ha condotto, a partire da agosto 2019, una campagna di spionaggio in Giappone, Cina, Stati Uniti e Taiwan.
A Barmanou, la compagine state sponsored pachistana, è stata associata l’operazione SideCopy contro target governativi indiani.
El Machete ha utilizzato la nuova backdoor Pyark nell’ambito di HpReact contro il settore della Difesa in Venezuela. Questi avversari hanno costituito la propria infrastruttura di rete in Colombia, dove si sono rifugiati i reazionari venezuelani guidati da Juan Gerardo Guaidó Márquez; l’ipotesi è che le informazioni sottratte siano poi fornite agli oppositori dell’attuale governo Maduro.
L’Egitto, dal canto suo, continua a sponsorizzare azioni contro gli attivisti per i diritti civili in casa e contro organizzazioni dell’oil&gas in Medio Oriente. Nel primo caso un’indagine di Amnesty International ha scoperto nuove versioni dello spyware FinSpy, prodotto dalla tedesca FinFisher, per sistemi Android, macOS e Linux. Nell’altro è stato sfruttato AZORult per colpire Organizzazioni e entità governative mediorientali attive nel campo energetico.
Nel frattempo, avversari di presunta matrice cinese hanno condotto attacchi di spear phishing contro dipendenti di aziende petrolifere ed energetiche della Russia; i malware sfruttati sono le backdoor Siggen e Whitebird, questa già incontrata in compromissioni sponsorizzate da Pechino contro il Kazakistan ed il Kirghizistan.

Quanto ai bollettini di sicurezza, segnaliamo aggiornamenti per i sistemi operativi Apple e per le soluzioni di NVIDIA, Cisco e Fortinet.

[post_tags]