Weekly Threats N. 52 2020

La settimana di Natale è stata segnata dalle novità emerse in merito all’attacco supply chain che ha coinvolto la compagnia SolarWinds; in Italia sono state tracciate diverse campagne malevole; a livello globale si registrano attività di APT noti e una operazione basata su Pegasus; rilasciati alcuni bollettini di sicurezza per bug critici e una nuova PoC per una falla di Windows corretta in modo non adeguato.

Analisi recenti sulla webshell SUPERNOVA, scoperta nell’ambito della compromissione subita da SolarWinds, hanno portato ad ipotizzare l’azione di almeno un altro avversario, oltre a Dark Halo; non sarebbe stato quest’ultimo, infatti, ad inserire la webshell in alcune installazioni del software Orion esposte su internet.
Smentite giungono anche in relazione all’ipotizzato coinvolgimento di una vulnerabilità di VMware (CVE-2020-4006); l’azienda ha affermato che non sussiste alcun collegamento fra questa command injection e il caso SolarWinds.
Il dominio che sarebbe stato utilizzato da uno degli avversari come C&C sembra sia stato acquistato utilizzando bitcoin da un wallet collegato all’exchange Cointiger di Singapore; la registrazione del dominio sarebbe avvenuta utilizzando una falsa identità italiana e compromettendo un sistema con un IP italiano, sul quale era ospitato un Windows Server 2012 R2 con porta 3389 (TCP/RDP) esposta.
Intanto, Microsoft ha rilasciato una serie di indicazioni per la detection di eventuali attività malevole.

Il team nordcoreano Lazarus è protagonista di diverse compromissioni. Nell’ambito di recenti attacchi al settore della Difesa ha colpito anche le aziende tedesche Rheinmetall e Renk AG. La prima, con sede a Düsseldorf, rappresenta la più grande compagnia di armi del Paese; la seconda, con sede ad Augusta, costruisce riduttori per navi da guerra e carri armati. Inoltre, in due diverse operazioni lanciate a settembre e ottobre, ha colpito una casa farmaceutica impegnata nella realizzazione del vaccino per il COVID19 (con la backdoor Bookcode) e un Ministero della Salute (con il malware wAgent).
In Asia sono state tracciate campagne contro il settore finanziario e della gestione monetaria governativa basate sul RAT JsOutProx.
Fra il Medio Oriente e Londra è emersa The Great iPwn, una operazione di spionaggio mirata contro giornalisti di Al Jazeera e Al Araby TV condotta da 4 operatori dello spyware Pegasus dell’NSO Group. Gli avversari hanno sfruttato una exploit chain battezzata KISMET; la catena, che a luglio era ancora uno 0-day, sembra coinvolgere uno 0-click di iMessage, ed è efficace su iOS 13.5.1 e probabilmente anche sull’allora modello più recente di device Apple, iPhone11.

Passando al settore squisitamente crime, il TeamTnT ha iniziato a sfruttare la nuova botnet per Linux TNTbotinger. Inoltre, si segnalano campagne massive basate su GuLoader, FormBook ed Emotet che hanno raggiunto anche utenti italiani; più mirate verso target del nostro Paese sono azioni finalizzate al phishing di credenziali dei clienti di Intesa Sanpaolo, Banco BPM, Poste Italiane e Bartolini.

Quanto alle vulnerabilità, un ricercatore del Project Zero di Google ha rilevato che la patch per la CVE-2020-0986 di Windows non è efficace; la falla, di cui è stata rilasciata una PoC aggiornata, è stata sfruttata nei mesi scorsi anche dall’APT sudcoreano DarkHotel; ora ha ricevuto il nuovo codice CVE-2020-17008 e sarà corretta non prima del prossimo 6 gennaio.
Treck TCP/IP, Dell, HPE e VMware hanno rilasciato bollettini che correggono o segnalano anche falle critiche in alcuni prodotti e soluzioni.

[post_tags]