Weekly Threats N. 46 2020

In Italia, oltre a due casi di data breach, si continuano a monitorare attività di distribuzione malware e di phishing che utilizzano come esca anche brand di compagnie di rilievo; la scena crime internazionale è dominata dai ransomware, ma emergono anche attacchi mirati contro particolari sistemi di pagamento PoS; le notizie che giungono dal mondo APT sono targate Corea del Nord; infine, due fra i maggiori vendor di software hanno rilasciato bollettini di sicurezza anche per vulnerabilità 0-day già sfruttate.

Utenti italiani sono stati raggiunti da numerose campagne di distribuzione di Ursnif: in alcuni casi i messaggi imitavano comunicazioni del Ministero dello Sviluppo Economico (MISE) a tema COVID-19, in altri dell’INPS; inoltre mail PEC sul tema della fatturazione ENEL hanno veicolato questo trojan bancario in associazione a Dridex. Stesso tema, ma generico, anche per AgentTesla.
Mirata contro utenti della Banca Intesa San Paolo è una più complessa campagna di phishing che ha sfruttato un sito e un APK, entrambi malevoli; a rischio le credenziali di login ai conti online e i codici OTP. Per l’istituto bancario italiano si segnala anche l’esposizione su una pagina web non protetta di informazioni dei clienti che risalgono al 9 novembre scorso; tutta da verificare la natura di questo incidente.
Rivelato un data breach – risalente al mese di agosto – anche per Luxottica, il produttore di occhiali e lenti che successivamente è caduto vittima di un attacco da parte del ransomware Nefilim.

Nel frattempo, Campari e Capcom, finite nel mirino del RagnarLocker Team, stanno subendo numerose pressioni; gli avversari hanno compromesso un account pubblicitario Facebook per sollecitare il pagamento da parte delle compagnia italiana e hanno anche diramato comunicati stampa nei quali si fa riferimento alle note trasmesse dalle due aziende in merito al breach; la scadenza era stata fissata al 10 novembre.
Sodinokibi ha colpito Flagship Group, un fornitore di alloggi a Norwich, in Inghilterra; Pay2Key ha lanciato un’operazione contro aziende israeliane.
Fra le vittime di RansomEXX compaiono anche la Corte Suprema di Giustizia e altre agenzie governative del Brasile. Questo malware, che in passato ha procurato gravi disservizi ad agenzie governative del Texas e alla compagnia giapponese Konica Minolta, è stato associato ad un gruppo individuato come GOLD DUPONT. Recenti indagini hanno mostrato che la minaccia, chiamata anche Defray777, è stata distribuita dal team in associazione al loader Vater e al RAT PyXie.

In ambito crime internazionale è di particolare interesse ModPipe; si tratta di una backdoor per sistemi POS del settore alberghiero e della ristorazione, tracciata in the wild a partire da aprile 2020, ma probabilmente attiva dalla fine del 2019. ModPipe colpisce esclusivamente ORACLE MICROS Restaurant Enterprise Series (RES) 3700. Gli analisti ipotizzano che sia stata realizzata a seguito di un data breach del 2016 che ha riguardato Oracle.

Passiamo alla scena state-sponsored. Una componente ransomware è presente anche in una nuova minaccia associabile a Lazarus Group; l’APT ha messo a punto un RAT modulare e multifunzione che annovera fra le proprie componenti anche il cryptor Hansom. CRAT, questo è il nome che gli è stato assegnato dagli analisti, è stato tracciato fra aprile e settembre 2020 in due versioni; la prima è stata distribuita tramite documenti HWP a tema COVID-19 che sfruttano la vulnerabilità CVE-2017-8291.
Operazione North Star, attacco lanciato dalla stessa compagine sponsorizzata dal Governo di Pyongyang, ha colpito i settori aerospaziale e della Difesa in Australia, Israele, Russia e India con lo spyware Torisma.
Sono state battezzate CostaRicto una serie di operazioni di cyberspionaggio mercenario, condotte con sofisticate tecniche contro target di mezzo mondo e in modo particolare in India, Bangladesh e Singapore. Gli avversari si avvalgono del dropper CostaBricks e di una backdoor chiamata SombRAT, dal nome di un personaggio di un gioco messicano (Sombra) che svolge proprio l’attività di intelligence.

Chiudiamo la nostra rassegna con due bollettini di sicurezza.
Apple ha corretto nei propri prodotti 24 vulnerabilità, tra le quali spiccano gli 0-day già sfruttati CVE-2020-27930 (RCE), CVE-2020-27950 (memory leak), CVE-2020-27932 (privilege escalation). Anche Microsoft nel Patch Tuesday di novembre ha risolto, fra i 112 bug totali, uno 0-day già pubblicato e sfruttato in the wild: CVE-2020-17087, che impatta Windows e consente di scalare i privilegi.

[post_tags]