Weekly Threats N. 51 2020

Tra le notizie della settimana spicca quella dell’attacco supply-chain perpetrato dall’avversario russo APT29. Partendo dalla compromissione del meccanismo di aggiornamento del software Orion di SolarWinds, il gruppo state-sponsored si è infatti garantito un punto di ingresso all’interno dell’azienda FireEye e di altre realtà, sia governative americane sia distribuite a livello internazionale; tra queste lo US nuclear weapons agency, parte del DOE (Department of Energy) statunitense, e lo U.S. Department of Homeland Security. Tre firme di sicurezza hanno collaborato per creare un kill switch per la backdoor SolarWinds SUNBURST che costringe il malware a terminarsi. Oltre a tale backdoor, gli avversari hanno sfruttato anche la webshell in-memory .NET SUPERNOVA, inserita nel codice di Orion e che agisce come una runtime API interattiva.

Un altro attacco di tipo supply-chain, battezzato Operation SignSight e attribuito al team cinese Tonto Team, ha coinvolto la Vietnam Government Certification Authority. Il gruppo avrebbe manipolato, grazie a tecniche Man in The Middle, due installer disponibili sul sito dell’autorità per le certificazioni allo scopo di distribuire la backdoor chiamata SManager (alias PhantomNet).
Rimanendo nell’ambito delle attività state-sponsored, sono state tracciate campagne di diversi gruppi. Il team nordcoreano Lazarus ha colpito molteplici realtà in Asia e in Europa; Gamaredon, noto avversario russo, ha condotto attività di spear-phishing al fine di targettizzare agenzie governative ucraine, oppositori e dissidenti del governo di Mosca; l’indiano Bitter ha invece preso di mira realtà governative e altre organizzazioni cinesi sfruttando decoy relativi all’industria navale.
Infine, analizzando una campagna che ha colpito aziende israeliane afferenti a diversi settori, ricercatori di sicurezza hanno rilevato alcuni elementi che permetterebbero di associare l’avversario iraniano Pioneer Kitten agli operatori del ransomware Pay2Key. Tale ransomware, ha rivendicato in questi giorni la compromissione dello sviluppatore israeliano di processori AI Habana Labs, acquisito da Intel nel 2019.

Sul territorio italiano, sono state tracciate molteplici ondate di phishing con l’intento di distribuire malware. Il trojan bancario Ursnif ha sfruttato mail che si spacciavano, tra le altre, per Bartolini, Eni Gas e Luce, Ministero dell’Economia e delle Finanze; la minaccia nota come Dridex, attraverso email a tema di fatture, ha avuto come target soprattutto aziende del nostro Paese.

Notizia di rilievo anche quella del downtime di Google: un vasto disservizio sembrerebbe aver coinvolto le piattaforme del colosso americano, rendendo non disponibili portali come Youtube, Hangouts, Gmail. Il malfunzionamento sembra essere stato associato ai servizi DNS tradizionali, ma non al protocollo DoH (DNS over Https). In un commento ufficiale, la compagnia ha affermato che si è trattato di un’interruzione del sistema di autenticazione durata circa 45 minuti dovuta ad un problema interno con la quota storage.

Quanto ai bollettini di sicurezza, infine, si segnalano quelli rilasciati da Apple, VMware nonché la correzione da parte di Mozilla di numerosi bug che affliggevano Firefox, Firefox ESR e Thunderbird.

[post_tags]