Weekly Threats N. 47 2020

Grande spazio occupano, questa settimana, le notizie provienti dall’Italia e quelle riguardanti i bollettini di sicurezza rilasciati per i maggiori sistemi operativi e le applicazioni web più diffuse; ancora novità sul versante ransomware; su quello APT si segnalano campagne targate Nordcorea e Cina.

Nel nostro Paese si registrano pressoché quotidianamente campagne di phishing e di distribuzione di minacce. Dridex ha sfruttato il tema delle fatture imitando comunicazioni del corriere UPS; Ursnif, cavalcando l’onda della pandemia da COVID19, viene distribuito da email che sembrano provenire in un caso dal Ministero dell’Economia e delle Finanze (MEF) e quello dello Sviluppo Economico (MISE) e in un altro dall’INPS; anche il trojan bancario Mekotio è al centro di una campagna che sfrutta falsi messaggi del MEF.

A livello globale i ransomware non conoscono sosta; fra le numerose notizie emerse negli ultimi giorni, alcune sono degne di nota. Il RagnarLocker Team è passato ai fatti contro l’italiana Campari, rilasciando oltre 50 GB di informazioni. MountLocker ha raggiunto i sistemi della tedesca Miltenyi, attiva nel campo della biotecnologia e impegnata anche nella ricerca di prodotti terapici per il COVID-19. Egregor Team ha escogitato un curioso metodo di pressione sull’ultima vittima; dopo aver compromesso i sistemi della Cencosud, leader nella vendita al dettaglio in America Latina, ha provveduto a distribuire la nota con la richiesta di riscatto a tutte le stampanti del network, comprese quelle dei punti vendita di Cile e Argentina. Si sospetta un ransomware dietro l’attacco che ha compromesso molti servizi della statunitense Americold, una delle compagnie che stanno contrattando la partecipazione alle future operazioni di distribuzione del vaccino per il Coronavirus.
Nel frattempo, è stata tracciata una nuova versione del cryptor Ranzy che ora sfrutta una solida combo di RSA-2048 e Salsa20.

La scena APT è dominata da attori dell’Asia orientale. Il nordcoreano ScarCruft continua ad implementare la propria infrastruttura nell’ambito della campagna “Blue Estimate”; Lazarus, sponsorizzato dallo stesso governo, ha lanciato una sofisticata offensiva di tipo supply-chain in Corea del Sud, abusando del meccanismo di download del software di sicurezza WIZVERA VeraPort. Radio Panda, di matrice cinese, ha implementato il malware chiamato ELF_PLEAD che è di fatto la versione per sistemi Linux del già noto modulo per Windows PLEAD. Il connazionale e quasi omonimo Stone Panda (alias APT10) ha colpito numerose società giapponesi dei settori automobilistico, dell’abbigliamento, farmaceutico, ingegneristico e governativo, nonché diversi Managed Service Provider (MSP); per la distribuzione di QuasarRAT sono state impiegate tecniche side-loading e l’exploit per la vulnerabilità Zerologon CVE-2020-1472. Alla galassia Axiom è stata infine associata una longeva campagna contro entità governatve del sud-est asiatico nel corso della quale è stato dispiegato un vasto arsenale comprendente le backdoor Chinoxy e FunnyDream, il RAT PcShare e altri tool.

Il numero di bollettini rilasciati negli ultimi giorni è considerevole. Hanno aggiornato i propri prodotti Mozilla, Drupal, Apple, Palo Alto, Intel, Cisco, VMware. Chrome 87 per desktop corregge, fra le altre, le falle che permettono attacchi di tipo NAT Slipstreaming; fronteggiati in Cisco Security Manager 3 gravi bug di cui sarebbero stati rilasciati gli exploit da parte di un ricercatore indipendente; è pubblica anche la PoC dell’exploit di CVE-2020-15647 (information disclosure) che impatta Firefox per Android.
Chiudiamo con la segnalazione di un aggiornamento di sicurezza anche per la libreria XStream, impattata da una RCE critica tracciata CVE-2020-26217.