Weekly Threats N. 41 2020

Nel report di questa settimana diamo notizia soprattutto di ransomware nuovi e già noti e di numerose campagne di spionaggio internazionale. Emergono poi i nomi di due creatori di exploit con “clienti” di particolare rilievo.

La scena crime risulta molto nutrita. In Italia continuano e si rinnovano le campagne di distribuzione di Ursnif, MassLogger, IcedID e Agent Tesla. In campo internazionale abbiamo segnalato numerose e variegate compromissioni dovute a ransomware.
Egregor, scoperto di recente in the wild, ha già colpito 13 società, fra le quali l’operatore globale di logistica GEFCO; anche le sue vittime, come quelle di Maze e altri, rischiano il leak dei dati in caso di mancato pagamento.
FONIX, un ransomware as a service che dovrebbe aver iniziato le proprie attività nel luglio di quest’anno, resta ancora in una zona grigia ma si annuncia particolarmente insidioso, con la sua combo di algoritmi di cifratura (Salsa20, Chacha, RSA e AES).
Cryptme, messo a punto da un team che si firma Employer21, ha selezionato vittime specifiche del settore scolastico adeguando a tale platea la richiesta di riscatto: 80 euro in bitcoin.
Di tutt’altro livello le compromissioni subite dall’International Maritime Organization (IMO) dell’ONU, dalla eResearchTechnology (ERT) – compagnia con sede a Philadelphia che distribuisce software medici alle aziende farmaceutiche che conducono test clinici, compresi quelli per il vaccino del Coronavirus – e dal broker assicurativo privato del Regno Unito, Ardonagh Group. In nessuno dei casi è stato reso noto il nome del malware e non si hanno indicazioni circa le cifre richieste.
Novità anche fra i cryptominer: analisti di sicurezza hanno tracciato campagne basate su Black-T di TeamTNT e LemonDuck, che potrebbe essere l’erede di KingMiner; il primo abusa di API Docker esposte, l’altro approfitta di tecniche fileless per eludere la detection.
Nel frattempo è tornato alla ribalta il gruppo Fullz House, che ha distribuito uno script con funzione di skimmer nei sistemi di Boom! Mobile, il provider americano che vende piani di telefonia per i principali operatori USA – tra cui AT&T, Verizon e T-Mobile. Inoltre, TA505 ha fatto parlare di sé in relazione ad almeno due attacchi: uno in America, basato sulla backdoor ServHelper e l’altro basato sui tool Get2, PuTTY e il RAT SDBBot.
Un’indagine piuttosto fine ha ricostruito le attività di due soggetti russsi che negli anni hanno confezionato e commercializzato una lunga serie di exploit, fra cui anche alcuni per bug 0-day: CVE-2019-0859, CVE-2015-2546, CVE-2016-0040, CVE-2016-0167, CVE-2016-0165, CVE-2016-7255, CVE-2017-0001, CVE-2017-0263, CVE-2018-8641, CVE-2019-1132, CVE-2019-1458, CVE-2018-8453, CVE-2013-3660, CVE-2015-0057, CVE-2015-1701, CVE-2016-7255. Volodya (alias BuggiCorp) e PlayBit (alias luxor2008), questi i nick dei due, hanno avuto come clienti gli operatori di trojan bancari come Ursnif, di ransomware come GandCrab, Cerber e Magniber e gruppi APT come Turla, Sofacy e Buhtrap.

Sul versante APT segnaliamo diverse azioni.
MuddyWater ha preso di mira alcuni ricercatori di alto profilo impiegati presso compagnie del campo aerospaziale e localizzati in Italia; sempre a questa compagine di matrice iraniana si attribuiscono operazioni basate sull’exploit della falla Zerologon (CVE-2020-1472).
Il gruppo XDSpy ha colpito istituzioni governative nell’Europa dell’Est e nei Balcani sfruttando anche il tema del COVID-19; un qualche avversario della galassia Axiom – sponsorizzata da Pechino – ha abusato di immagini del firmware UEFI per colpire diplomatici e ONG con il rootkit MosaicRegressor; ancora cinesi, Radio Panda, sono gli autori di attacchi basati sul loader Waterbear contro Entità governative di Taiwan.
Russa per matrice e per obiettivo è infine l’operazione di spionaggio industriale – datata almeno al 2018 ma rilevata da poco – che ha avuto come protagonista il toolset MontysThree.

Per quanto riguarda le vulnerabilità, nell’ultima settimana si segnalano bollettini e relative correzioni per prodotti Mitsubishi Electric, Cisco e Google (Android e Chrome).

[post_tags]