Weekly Threats N. 01 2021

Nella prima settimana del 2021 è stata condotta una campagna che cavalca l’onda del programma Cashback; inoltre, emergono aggiornamenti sulla vicenda che ha coinvolto Solarwinds; sono numerose le campagne APT e cybercrime tracciate a livello globale; infine sono stati pubblicati aggiornamenti di sicurezza per popolari applicazioni software e dispositivi di rete ed è stata rilasciata una micropatch per uno 0-day di PsExec.

Firme di sicurezza hanno tracciato una campagna di phishing – di probabile matrice italiana – tesa a veicolare il RAT/infostealer sysc32cmd e che utilizza come esca il programma Cashback, riservato a tutti i cittadini italiani che ricorrono a sistemi di pagamento elettronico.
Ancora un RAT, chiamato BitRAT, è stato veicolato ad utenze italiane grazie ad allegati DOCX con macro malevole.
Nel frattempo, nel nostro Paese non si fermano attacchi dalle caratteristiche già note, come quello mirato al phishing di dati personali e credenziali che ha coinvolto gli utenti di Intesa Sanpaolo e Poste Italiane.

Per quanto riguarda le campagne APT, almeno due non sono state associate ad avversari noti.
Earth Wendigo ha colpito in due diversi episodi, fra gli altri, agenzie governative di Taiwan e sostenitori delle minoranze uigura e tibetana e degli oppositori politici di Hong Kong. La particolarità di questi attacchi sta nelle tecniche adottate, che consentono di abusare di particolari servizi webmail per sottrarre informazioni, eludere la detection e moltiplicare le possibilità di diffusione.
Operation Kremlin – campagna collegata a Operation Domino del 2019 – è stata indirizzata a target russi di alto livello nei settori governativo ed energetico; l’offensiva si è servita di strategie file-less e ha sfruttato VBS per l’esfiltrazione dei dati.
Al nordcoreano ScarCruft sono state associate due diversi campagne. Una è articolata in attacchi supply chain che hanno abusato di un programma di messaggistica per investimenti, sotto forma di un software di installazione NSIS (Nullsoft Scriptable Install System). Un’altra ha sfruttato VBA self-decode per distribuire RokRat.
Il cinese Emissary Panda, invece, è ritenuto il responsabile della già nota Operation DRBControl, basata su numerosi malware come ASPXSpy, PlugX e Clambing, l’exploit per CVE-2017-0213 e sul ransomware BitLocker.

Ancora novità dal mondo ransomware: è stato scoperto Babuk, che adotta una combinazione di SHA256, ChaCha8 e l’algoritmo Diffie-Hellman a curva ellittica. Sono almeno 5 le aziende raggiunte da questo cryptor e una di esse sembrerebbe aver pagato un riscatto di 85.000 dollari.
Sempre sul versante crime internazionale segnaliamo un’operazione del team russo Anunak (alias FIN7) che ha distribuito i malware JSSLoader e DiceLoader attraverso false fatturazioni della piattaforma Quickbooks che sembravano provenire dalla compagnia Natural Health Sherpa.
La minaccia ElectroRAT – scritta in Go ed efficace sulle piattaforme Linux, macOS e Windows – ha mirato invece a utenti di wallet di cryptovaluta.

Quanto agli incidenti che hanno visto coinvolta la società SolarWinds e numerosi suoi clienti, Microsoft ha confermato un’attività anomala associata alla visualizzazione di parte dei codici sorgente. In uno statement ufficiale il colosso di Redmond puntualizza che le policy di gestione dei sorgenti sono tali che eventuali esposizioni non compromettono in nessun caso la sicurezza dei relativi prodotti.
Inoltre, fonti di stampa suggeriscono la possibilità che l’entry point di tutto l’attacco supply chain sia stata la soluzione per sviluppatori TeamCity, distribuita JetBrains, da una compagnia con base in Repubblica Ceca, ma fondata da tre ingegneri russi. Tra le firme che adottano TeamCity vi sono SolarWinds, ma anche Google, Hewlett-Packard, Citibank, VMWare e Siemens. Nello specifico, potrebbe essere stata compromessa direttamente la compagnia o essere stata sfruttata la vulnerabilità CVE-2019-12157 (CVSS 9.8) – di tipo command injection – che impatta le versioni 2018.2.5 e le versioni UpSource precedenti alla 2018.2 build 1293.

Chiudiamo la rassegna segnalando novità sul versante vulnerabilità. È pubblico il bollettino mensile di Google per Android e Pixel; inoltre, sono pronti aggiornamenti per alcune versioni di Firefox – nelle quali è stata corretta l’unica falla critica CVE-2020-16044 – per Chrome desktop e per prodotti Fortinet.
È disponibile una micropatch non ufficiale per una vulnerabilità 0-day – senza CVE- che impatta PsExec e di cui è pubblica la PoC; si tratta di un problema di tipo local privilege escalation (LPE) presente in tutte le versioni di PsExec lanciate negli ultimi 14 anni. Infine, è in corso di completa risoluzione la falla CVE-2020-29583, che impatta alcuni firewall e AP controller Zyxel e di cui è già pubblica la PoC.