Weekly Threats N. 02 2021

Campagne malware in Italia, nuovi dettagli sul caso SolarWinds, vasta operazione contro entità private e governative in Colombia, un nuovo team APT, numerosi bollettini di sicurezza anche per falle 0-day e critiche: questo è il contenuto della rassegna dedicata ai fatti della settimana che si sta concludendo.

Utenti email del nostro Paese stanno ricevendo comunicazioni malevole volte alla distribuzione di minacce come sLoad, Dridex, Ursnif, Hancitor, FormBook; nella maggior parte dei casi i destinatari sono indotti a scaricare allegati malevoli.

La vicenda SolarWinds sta assumendo via via dimensioni sempre più ampie. Una firma di sicurezza ha rilevato somiglianze fra la backdoor SUNBURST – inserita negi update per Orion e inizialmente attribuita al russo APT29 – e l’omologa Kazuar, usata da un altro avversario sponsorizzato da Mosca, vale a dire Turla; inoltre, per l’inserimento di SUNBURST è stata sfruttata SUNSPOT, capace di monitorare le attività dei processi relativi alla compilazione di Orion e di sostituire uno dei file sorgente. Nel frattempo, gli operatori di un portale chiamato “SolarLeaks” stanno vendendo dati che sostengono provenire dai sistemi di SolarWinds, Microsoft, Cisco e FireEye. 
Sono inoltre in corso indagini forensi volte a stabilire la natura dell’incidente che ha coinvolto Mimecast. In seguito a una segnalazione di Microsoft, la compagnia specializzata nella gestione di email cloud-based ha confermato la compromissione di alcuni certificati digitali usati per autenticare i prodotti Mimecast Sync and Recover, Continuity Monitor e IEP a Microsoft 365 Exchange Web Services. Gli utenti coinvolti sono stati invitati a cancellare le connessioni esistenti e ristabilirne di nuove, basate su nuovi certificati.
Novità anche su FireEye il cui data breach ha sollevato il velo sull’intero incidente. L’FBI sta indagando su una cartolina che il CEO dell’azienda di sicurezza americana, Kevin Mandia, ha ricevuto presso la propria abitazione alcuni giorni dopo l’inizio delle indagini interne sull’attacco; una vignetta ironica corredata da frasi come “Hey look Russians” e “Putin did it!” sembra voler intimidire il dirigente.

Rimaniamo in campo APT segnalando l’attività del team di probabile matrice cinese – battezzato Chimera – cui sono stati ricondotti numerosi attacchi risalenti al periodo fra ottobre 2019 e aprile 2020 finalizzati alla sottrazione di proprietà intellettuale, file di configurazione, manuali, email.
Sullo stesso versante si situerebbe la campagna di phishing Operation Spalax; cavalcando diversi temi, fra cui anche quello del COVID19, gli avversari – presumibilmente del team sudamericano APT-C-36 – hanno preso di mira entità governative e private della Colombia con minacce come Remcos, njRAT e AsyncR.

Chiudiamo con i bollettini di sicurezza rilasciati in questi giorni, alcuni dei quali segnalano problemi di rilievo. Il Patch Tuesday di Microsoft si compone di 83 vulnerabilità; fra di esse compare uno 0-day che impatta Microsoft Defender, tracciato con codice CVE-2021-1647 e corretto in Microsoft Malware Protection Engine, v. 1.1.17700.4. Inoltre, sono state rilasciate correzioni per la CVE-2021-1648, una EoP (elevation of privilege) scoperta da Project Zero-day nel settembre 2020 e allora tracciata con codice CVE-2020-0986; questa falla è risultata ancora sfruttabile dopo un primo intervento e i ricercatori l’hanno nel frattempo individuata con il codice CVE-2020-17008.
PsExec è impattato da uno 0-day di tipo LPE (local privilege escalation) che consente RCE (remote code execution). La PoC dell’exploit è stata resa pubblica, ma il problema – presente in tutte le versioni del tool rilasciate negli ultimi 14 anni – non è stato ancora corretto ufficialmente; tuttavia esiste una micropatch che si applica alle ultime versioni – 32-bit e 64-bit – ma che potrebbe essere efficace anche su quelle precedenti. 
Sono pubblici anche il SAP Security Patch Day (che affronta anche bug critici) e gli advisory per prodotti e soluzioni di Cisco, Siemes, Schneider Electric, Adobe, Rockwell, NVIDIA e Juniper.

[post_tags]