Weekly Threats N. 48 2020

Un significativo data leak e campagne malware in Italia, operazioni APT nelle regioni dell’ex Unione Sovietica e Cina, campagne ransomware, bug di popolari applicazioni sfruttati in the wild o non ancora corretti e un’operazione dell’Interpol contro criminali di matrice nigeriana: questi i temi della panoramica settimanale.

Un vasto data leak ha impattato in questi giorni diverse organizzazioni pubbliche e private in Italia e nel mondo. Tra i nomi spiccano quelli della Presidenza del Consiglio dei Ministri, di Roma Capitale, della Asl di Napoli. Secondo ricercatori di sicurezza il furto delle informazioni è avvenuto tramite lo sfruttamento di una vulnerabilità già nota di FortiOS SSL VPN, tracciata con codice CVE-2018-13379. I dati sottratti – si tratta perlopiù di credenziali di accesso ai sistemi – sarebbero stati pubblicati su alcune chat Telegram.

Continuano senza sosta le campagne malware contro target italiani: Agent Tesla è stato veicolato da comunicazioni sul tema della fatturazione; Ursnif ha sfruttato decine di email i cui temi variano da presunti adeguamenti energetici a comunicazioni da parte dell’Agenzia delle Entrate; sLoad ha invece raggiunto utenze PEC.
Segnaliamo poi un nuovo malware per sistemi Android, presumibilmente derivato da Anubis, che si spaccia per numerose applicazioni fra cui anche Immuni, l’utility per il tracciamento della diffusione del COVID-19 nel nostro Paese; per la distribuzione è stato creato un sito che riproduce in modo fraudolento il repository del Google Play Store dove si offre il download anche di false app legate all’ambito bancario e dell’e-commerce, come eBay, Amazon, Intesa San Paolo e InBank.

Sulla scena APT si registrano novità di varia tipologia. Sono state tracciate nuove evidenze di una longeva campagna contro obiettivi ucraini associata alla cosiddetta Repubblica Popolare di Lugansk (LPR); si tratta di uno Stato a riconoscimento limitato autoproclamatosi indipendente nel 2014 che occupa e controlla quasi tutto il territorio dell’Oblast’ di Lugansk (una delle 24 regioni dell’Ucraina).
Nel frattempo, sono stati rilevati nuovi documenti di spear phishing su temi principalmente legati al conflitto tra Armenia e Azerbaigian nel Caucaso o a quello in corso in Ucraina che possono essere ricondotti agli avversari di matrice russa Red October.
Il cessate il fuoco tra Armenia e Azerbaijan è l’esca di un’altra campagna, contro target russi, firmata dal cinese Tonto Team; attiva almeno dal 2019, Operation LagTime IT ha preso di mira di volta in volta anche realtà governative dell’Asia Pacifica e della Mongolia.
Sono riprese le attività di Mustang Panda, il gruppo sponsorizzato da Pechino che ha colpito personalità del Vaticano, entità in Myanmar e Birmania, oltre a diplomatici di stanza in Africa; il tema sfruttato in questo frangente è l’accordo provvisorio recentemente rinnovato tra la Santa Sede ed il Partito Comunista Cinese, ma sono state identificate altre email che sembrano provenire da giornalisti della Union of Catholic Asia News.
Infine, il National Cyber Security Center (NCSC) del Regno Unito ha diramato un alert su tentativi di exploitation del bug noto di MobileIron CVE-2020-15505 riconducibili ad avversari cybercrime internazionali e ad attaccanti state-sponsored del Sol Levante; la falla, corretta nel giugno scorso, è da tempo base di numerosi tentativi di compromissione, anche in combinazione con Zerologon (CVE-2020-1472), di cui hanno già dato conto in propri alert l’NSA e la CISA statunitensi.

Il monitoraggio dei ransomware non conosce pause. Sotto la lente degli analisti è comparsa una vasta operazione targata Emissary Panda mirata contro una compagnia attiva nel settore dei media e basata su un cryptor chimato Polar; la raffinata tecnica di infezione, che ha richiesto due anni di preparazione e l’impiego di numerosi tool, ha consentito di compromettere l’intera infrastruttura aziendale coinvolgendo i sistemi della casa madre e di tutte le filiali.
Fra i numerosi altri casi censiti, segnaliamo quello dell’agenzia di stampa danese Ritzau che ha negato ogni forma di contrattazione; un quarto dei server è risultato danneggiato e ciò ha costretto alla chiusura dei sistemi editoriali e alla migrazione temporanea di alcuni servizi verso sei blog.

Sono due i casi di vulnerabilità degni di nota. L’exploit per uno 0-day RCE che impatta i dispositivi UNIXCCTV DVR/NVR è stato integrato in Moobot, una delle botnet basate su Mirai. Il team di VMware, invece, ha segnalato la presenza in numerosi prodotti di una command injection critica (CVE-2020-4006, CVSS 9.1) per la quale non sono ancora pronte le necessarie correzioni.

Chiudiamo con la notizia dell’arresto di un gruppo criminale di provenienza nigeriana. Le indagini sono state condotte dall’Interpol in collaborazione con le Forze di Polizia del Paese e di una firma di sicurezza; sono state individuate e fermate tre persone ritenute responsabili di frodi BEC (business email compromise), campagne di phishing e attacchi basati su noti malware come AgentTesla, Loki, Azorult, Spartan, Nanocore e Remcos.