Weekly Threats N. 44 2020

Questa settimana tornano a far parlare di sé gli hacktivisti di LulzSecITA; dominano le campagne ransomware a livello globale e con una vittima eccellente anche in Italia; molto ricco di novità è anche il versante APT; segnaliamo in chiusura un data breach di qualche rilievo e lo sfruttamento di una vulnerabilità appena corretta da Oracle.

Gli hacktivisti italiani hanno lanciato due tweet a distanza di pochi giorni. Nel primo rivendicano un data breach riconducibile alla Regione Lazio e alla Provincia di Roma e annunciano ulteriori azioni per il 5 novembre. Nell’altro segnalano un dump che coinvolgerebbe un database di Unicredit; quest’ultima azione sembra però attribuibile a qualcuno che nella rivendicazione rilasciata su Pastebin si è firmato con l’indirizzo mail Jekson1@secmail[.]pro; viene annunciata la vendita dei dati su exploit[.]in

Il NetWalker Team ha rivendicato la compromissione del colosso energetico Enel; si parla di circa 5 TB di dati sottratti dai sistemi del gruppo che avrebbe pochissimi giorni per scongiurarne la pubblicazione.
Si scopre solo ora che il centro di psicoterapia finlandese Vastaamo ha subito due attacchi tra la fine di novembre 2018 e marzo 2019. In un caso l’avversario conosciuto online con il nome “ransom_man” ha già fatto trapelare dati di 300 pazienti inclusi nomi e informazioni di contatto, utilizzando la rete Tor, nell’altro la richiesta di riscatto è arrivata a 450.000 euro.
Ryuk imperversa in numerose campagne e viene distribuito dal gruppo FIN6 facendo ricorso a tutto l’arsenale disponibile; sono state impiegate nuove varianti di BazarLoader e BazarBackdoor chiamate KEGTAP/BEERBOT, SINGLEMALT/STILLBOT e WINEKEY/CORKBOT, il loader Buer, Empire e il framework Anchor. Secondo quanto si apprende da un alert di CISA e FBI da dicembre 2019 la minaccia sta mettendo a rischio strutture sanitarie e dell’assistenza agli anziani; fonti ufficiose ritengono lo stesso gruppo responsabile anche dell’attacco che il 22 ottobre scorso avrebbe colpito Steelcase, il produttore di arredi per ufficio con base a Grand Rapids (Michigan).
Attribuibile a MountLocker la violazione subita dalla svedese Gunnebo. Alla multinazionale leader nel settore della sicurezza per la protezione di beni e persone sono stati rubati 38.000 file pari a circa 19 GB; fra i documenti vi sarebbero dettagli sulle disposizioni di sicurezza del Parlamento svedese ed i progetti riservati alla costruzione del nuovo Ufficio dell’Agenzia delle Entrate svedese, nonché i piani per i caveau di due banche tedesche; altri riporterebbero dettagli dei sistemi di allarme e di sorveglianza di una filiale del gruppo finanziario svedese SEB.
È stato raggiunto da un cryptor anche il laboratorio indiano Dr. Reddy’s, principale contractor del governo russo per la realizzazione del vaccino “Sputnik V” contro il COVID19.
A tema COVID-19 è stata poi la campagna basata sul ransomware Vaggen che ha mirato con successo ai sistemi della University of British Columbia (UBC) in Canada.

Stesso tema per un’operazione lanciata dai cinesi di APT31, che nell’agosto di quest’anno hanno distribuito file MSI malevoli; gli analisti non hanno rivelato il contesto dell’attacco.
È noto invece quello della campagna di phishing attribuita a Charming Kitten (alias APT35, Phosphorus); target del team iraniano sono stati i partecipanti alla Munich Security Conference (19-21 febbraio 2021), incentrata sul tema della sicurezza internazionale e al Summit Think 20 (T20) in programma dal 31 ottobre al 01 novembre 2020 in Arabia Saudita.
Nel mirino dei russi Turla è finita invece una organizzazione governativa europea.
Ad un gruppo sponsorizzato da Algeri e individuato come North African Fox (APT-C-44) si deve poi una longeva campagna di spionaggio che dal 2017 ha come obiettivo individui legati alla politica nazionale.
Il Department of the Treasury’s Office of Foreign Assets Control (OFAC) americano, infine, ha emesso sanzioni contro un istituto di ricerca governativo russo ritenuto connesso al malware Triton (alias Trisis). Il riferimento è alla vicenda dell’attacco distruttivo – basato su una vulnerabilità 0-day dei controller Triconex distribuiti da Schneider Electric – che nell’agosto 2017 ha colpito un impianto petrolchimico saudita. Tale operazione sarebbe stata supportata dallo State Research Center of the Russian Federation FGUP Central Scientific Research Institute of Chemistry and Mechanics (TsNIIKhM), controllato dal governo di Mosca.
Nuove attività anche per l’APT indiano Dropping Elephant, di cui è stato rilevato il tool inedito Firestarter per Android, che a busa di Google FCM, ed analizzate le ultime operazioni rivolte contro le forze armate pakistane.

Quanto ai data breach, segnaliamo quello subito dal servizio Nitro PDF; i criminali, che affermano di aver compromesso il servizio cloud, hanno messo in vendita 1 TB fra database e documenti di utenti, al prezzo di 80.000 dollari.

In chiusura, sono state segnalate attività di sfruttamento in the wild di una vulnerabilità appena corretta da Oracle in WebLogic. A pochi giorni dal rilascio del bollettino ufficiale è stata rilasciata la PoC per il bug CVE-2020-14882 (CVSS 9.8) che consente esecuzione di codice arbitrario da remoto senza autenticazione. L’exploit risulta alla base di tentativi di compromissione da 4 indirizzi IP localizzati in Cina, Stati Uniti e Moldavia; in alcuni casi è stato rilevato il download e l’esecuzione di un file .exe da remoto.

[post_tags]