Weekly Threats N. 42 2020

Negli ultimi giorni in Italia sono state tracciate numerose campagne a tema finanziario; sono stati sfruttati i brand di Monte dei Paschi e Banca Intesa per distribuire malware o svolgere attività di phishing. Fra le minacce distribuite vi sono Loki Bot, Ursnif e Agent Tesla; informazioni di varia natura sono state sottratte fingendo comunicazioni di Aruba, INPS e Outlook.
La Piaggio, invece, è stata al centro di un attacco basato sul ransomware NetWalker; sebbene la compagnia sostenga di aver fronteggiato con successo l’incursione, gli avversari hanno rivendicato la compromissione di uno dei domini dell’azienda di Pontedera.
Altra vittima eccellente di un cryptor, di cui però non è stato reso noto il nome, è la compagnia Intcomex, rivenditore di prodotti e servizi tecnologici sul mercato dell’America Latina e dei Caraibi; una parte dei dati sottratti è stata messa in vendita su un forum russo.
Sempre su questo versante emergono un paio di novità: MalLocker – che colpisce sistemi Android bloccando tutte le schermate, senza necessità di cifrare alcun dato – ed EKING, variante di Phobos. Nel frattempo Ryuk viene distribuito sfruttando la backdoor Bazar.

A livello internazionale si segnalano almeno due attori di recente documentazione e due operazioni APT sponsorizzate da Teheran.
FIN11 sembra essere un avversario non del tutto inedito che, dopo una prima associazione a Comment Crew, è apparso sovrapponibile ad alcune attività di TA505.
IAmTheKing è invece il nome attribuito a una realtà verosimilmente governativa di cui è stata descritta una parte dell’arsenale. Questo si compone di 3 backdoor KingOfHearts, QueenOfHearts, QueenOfClubs cui si aggiungono il malware SlothfulMedia e il dropper JackofHearts.
Riemergono gli iraniani chiamati in un primo momento Silent Librarian e poi individuati nel gruppo Cobalt Dickens; ancora attacchi di phishing di alto livello per questa compagine che si concentra soprattutto contro realtà dell’alta formazione in tutto il mondo.
Operation Quicksand è invece associata a Muddywater ed è stata rivolta contro organizzazioni soprattutto in Israele; gli avversari hanno sfruttato il ransomware Thanos con funzioni di wiper e gli exploit per le vulnerabilità CVE-2020-0688 e CVE-2020-1472.

Spicca poi il caso Trickbot. All’inizio della settimana un’operazione condotta da società di sicurezza, aziende di telecomunicazioni e servizi finanziari in partnership ha messo in seria difficoltà gli operatori del malware. In realtà, pochi giorni dopo, alcuni analisti hanno tracciato attività di Emotet, la botnet che distribuisce TrickBot, segno evidente che le misure legali basate sulla regolamentazione della proprietà intellettuale sono state insufficienti.
Un’altra azione di tipo legale ha coinvolto la società tedesca Finfisher, che distribuisce il famigerato spyware FinSpy; l’accusa è di aver esportato il tool in nazioni come Etiopia, Bahrain, Egitto e Turchia, violando di fatto la normativa sul commercio estero della Germania.

In chiusura, si riportano alcuni bollettini di sicurezza di particolare rilievo. Fra tutti, quello mensile per prodotti Microsoft che contempla anche una falla critica di WindowsTCP/ICP; il bug impatta Windows 10 e Server 2019, è di tipo RCE e risulterebbe già sfruttato in the wild (CVE-2020-16898). All’indomani del rilascio delle patch è stato anche rilasciato da una firma di sicurezza il video della PoC dell’exploit, utile in questo caso a determinare un “blue screen of death”.
È pubblico anche il bollettino mensile per prodotti SAP, nel quale sono seganale le fix per problemi anche critici.
Quanto a vulnerabilità di cui sono state rese note le PoC (proof of concept), le notizie riguardano Linux e SharePoint. Nel primo caso si tratta di falle nel software BleedingTooth per le connessioni Bluetooth: CVE-2020-12351, CVE-2020-12352 e CVE-2020-24490. Nell’altro, è la RCE tracciata come CVE-2020-16952.