Campagne malware/phishing e un arresto segnano la scena cybercrime italiana; a livello internazionale, due operazioni cavalcano l’onda del vaccino per il COVID-19, mentre i ransomware continuano a mietere vittime eccellenti; due popolari botnet si stanno propagando grazie a particolari exploit (uno dei quali per uno zero-day); in attesa dei bollettini schedulati per il mese corrente dai maggiori vendor di software, segnaliamo il rilascio di alcune patch e hotfix di rilievo.

Il Corpo dei Carabinieri di Monza ha individuato 12 persone – 6 delle quali sono già state tratte in arresto – che si ritengono parte di un’organizzazione criminale dedita al furto di denaro dagli ATM. Il gruppo avrebbe colpito almeno 35 dispositivi gestiti da uffici postali e istituti bancari sul territorio nazionale, capitalizzando 800.000 euro in soli 7 mesi.
Nel frattempo continua il tracciamento di email a tema Vodafone volte a distribuire Ursnif, di altre comunicazioni a tema DHL che veicolano MassLogger e di messaggi di phishing che mirano alle credenziali di login dei clienti Nexi.
Fra i target di UNC1945, gruppo che si è contraddistinto per lo sfruttamento di vulnerabilità che affliggono Oracle Solaris, e in particolare la zero-day CVE-2020-14871, compaiono anche aziende di grosso calibro in Italia ed Europa.
Italiani, europei e di numerose altre nazioni del mondo sono anche i target di un nuovo sofisticato gruppo mercenario chiamato DeathStalker che sfrutta la backdoor PowerPepper.

Un altro bug di Oracle, il CVE-2020-14882 che impatta WebLogic, è attualmente sfruttato dalla botnet DarkIRC; l’omologa Mirai, invece, ha aggiunto al proprio arsenale l’exploit per uno zero-day dei dispositivi LILIN.

Numerose le vittime eccellenti per ransomware di stampo crime e APT. Il Conti Team ha richiesto un riscatto di 750 BTC (circa 13 milioni di dollari) per ripristinare i sistemi di Advantech; il REvil Team ha adottato la tecnica Search Engine Optimization (SEO) per distribuire il proprio cryptor e il trojan bancario Gootkit in Germania; il DopplePaymer Team ha invece compromesso il Banijay Group (casa madre della Endemol Shine Group) e la Contea del Delaware in Pennsylvania.
Egregor, che sembrerebbe avere qualche connessione con Prolock, ha colpito gli store Kmart e la TransLink, l’agenzia dei trasporti di Vancouver.
Non sono ancora noti i nomi delle minacce che hanno raggiunto la brasiliana Embraer, produttrice di aeroplani civili e militari, e il Manchester United.
Dal canto suo, la compagine state-sponsored nordcoreana Lazarus ha bloccato i sistemi di numerose piccole aziende sfruttando la CVE-2020-10189 di Zoho ManageEngine Desktop Central.

Ancora avversari nordcoreani sono ritenuti responsabili di tentativi di attacco contro AstraZeneca, impegnata nella produzione di uno dei vaccini per il Coronavirus; falsi recruiter hanno contattato lo staff della compagnia tramite LinkedIn e WhatsApp presentando false offerte di lavoro; i documenti distribuiti contenevano un malware sfruttabile per ottenere accesso ai dispositivi target.
Un’altra vasta campagna, avviata nel settembre 2020, sta sfruttando il tema del COVID-19 per colpire organizzazioni coinvolte nella supply chain della realizzazione dei vaccini. Fra i target vi sono lo European Commission’s Directorate-General for Taxation and Customs Union e realtà di numerosi settori localizzate tra Europa – Italia compresa – Medio Oriente, ex-URSS e regioni del MENA.
Continua poi la distribuzione di email che, fingendosi report della WHO (World Health Organization) sull’andamento della pandemia, diffondono minacce come AZORult e Glupteba.

Segnaliamo il rilascio di una PoC dell’exploit per una vulnerabilità zero-day (privilege escalation) riscontrata da un ricercatore indipendente in Windows 7 e Windows Server 2008 R2. Entrambi i sistemi hanno raggiunto la fine del supporto a gennaio 2020 e attualmente sono nel periodo Extended Security Updates (ESU); a partire dal 2023 non riceveranno più alcuna correzione. Il progetto 0patch ha provveduto a rilasciare un micropatch gratuita e non ufficiale.
Xerox ha approntato una hotfix per DocuShare (CVE-2020-27177) e Mozilla ha corretto un problema ad alto impatto in Thunderbird (CVE-2020-26970); Schneider Electric ha rilasciato advisory per StruxureWare e EcoStruxure Operator Terminal Expert runtime (Vijeo XD); Apple ha risolto 18 falle in iCloud per Windows; segnalate patch anche per il core di Drupal e alcuni prodotti Fortinet.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi