Weekly Threats N. 03 2021

Questa settimana sono state tracciate numerose campagne cybercrime in Italia, sono emerse novità sull’attacco che ha coinvolto SolarWinds e si segnalano alcune operazioni APT e cybercrime a livello globale; infine, sono state segnalate alcune vulnerabilità di rilievo.

Le attività di phishing e distribuzione di malware che hanno interessato utenti email del nostro Paese sono numerose. Il trojan bancario Cerberus, per sistemi Android, si è spacciato per l’applicazione di tracciamento del COVID19 Immuni ed ha utilizzato un falso portale provvisto anche di certificato SSL. Nell’ambito di una attività di phishing è stata invece impiegata una casella di posta elettronica compromessa appartenente ai sistemi del Comune di Avellino. Inoltre, Emotet in un caso ha abusato di conversazioni già avviate e in un altro ha finto comunicazioni del Centro Nazionale Economi di Comunità (CNEC); Ursnif ha imitato email di INPS, ENEL e Bartolini; Dridex e Formbook sono stati veicolati da allegati malevoli, rispettivamente XLS e ISO; Agent Tesla ha esfiltrato dati alle proprie vittime utilizzando API di Telegram. Infine, sono state prese di mira caselle di posta elettronica attivate su Virgilio per la sottrazione delle relative credenziali di accesso e una segnalazione riguardo una fantomatica “Outlook Voice App” ha mirato a rubare le coordinate degli account Microsoft Office.

La vicenda SolarWinds sta prendendo contorni sempre più ampi. Il CEO di Malwarebytes ha confermato la compromissione di alcune email aziendali da parte dello stesso attore che ha firmato l’attacco supply chain. Sebbene la firma di sicurezza non utilizzi prodotti SolarWinds, infatti, è già stato dimostrato come un secondo vettore di infezione passi attraverso lo sfruttamento di applicazioni con accesso privilegiato ad ambienti Microsoft Office 365 e Azure; in questo caso è stato abusato un tool esterno di protezione della posta elettronica di Office 365 che ha permesso l’accesso ad un sottoinsieme limitato di messaggi aziendali. Alcune analisi tecniche stanno poi delineando con maggiore precisione le modalità di attivazione del secondo stage. La distribuzione di Cobalt Strike è avvenuta sfruttando una strategia molto sofisticata basata sulla creazione di un valore debugger IFEO nel registro, su un processo parent/child scollegato da quello di SolarWinds e su alcune backdoor con funzione di loader. A questo gruppo di minacce – verosimilmente generate utilizzando template custom di Artifact Kit – appartengono la già nota Teardrop e quella di più recente documentazione Raindrop. Quest’ultima, nello specifico, è stata sfruttata in almeno 3 casi risalenti ai mesi di maggio, luglio e agosto 2020; nell’ultimo di essi compare, appunto, anche Cobalt Strike.

Mentre il team state sponsored cinese APT31 viene preso in causa riguardo ad alcune campagne mirate contro organizzazioni e fondazioni politiche tedesche, il panorama cybercrime globale continua ad essere dominato dai ransomware. Il forum di IObit – uno sviluppatore di software di Windows – è stato compromesso per distribuire il ransomware DeroHE che richiede pagamenti nella valuta elettronica DERO; Conti, il cryptor distribuito da FIN6, ha invece raggiunto i sistemi della Scottish Environment Protection Agency.

Chiudiamo con una serie di segnalazioni riguadranti vulnerabilità importanti. Ricercatori di sicurezza hanno riscontrato 7 bug in Dnsmasq – un client per il DNS forwarding per sistemi operativi basati su *NIX – che impattano device Android, dispositivi Cisco e soluzioni VPN di firme come Aruba, Redhat, Technicolor, Ubiquiti, oltre a router, access point, firewall di tutti i tipi. Tracciate con i codici CVE-2020-25681, CVE-2020-25682, CVE-2020-25683, CVE-2020-25687, CVE-2020-25684, CVE-2020-25685, CVE-2020-25686, sono state ribattezzate DNSpooq e consentono RCE e DoS.
Oracle ha pubblicato il primo bollettino quadrimestrale del 2021, Google sta rilasciando un nuovo aggiornamento per Chrome; advisory anche per Apache Tomcat, F5 Networks, Drupal e alcuni dispositivi P2P di Reolink. Particolare attenzione va prestata alla CVE-2020-6207 (CVSS 10.0) di SAP Solution Manager (SolMan), corretta nel marzo 2020, di cui ora è pubblica la PoC dell’exploit.

[post_tags]