Questa settimana è emersa una campagna basata su uno spyware associabile al prodotto di una firma italiana che distribuisce strumenti di sorveglianza; a livello internazionale resta attivissimo il panorama ransomware, emergono novità di rilievo sul caso SolarWinds, è stato tracciato in Asia un attacco supply-chain piuttosto mirato, una compagnia di sicurezza ha confermato di aver subito una compromissione e due operazioni di vasta portata hanno distribuito cryptominer; quanto alle vulnerabilità, bollettini schedulati e straordinari correggono anche bug critici e 0-day oggetto di exploit.

Apriamo la rassegna settimanale con la notizia di una campagna basata sullo spyware Epeius, che sembra essere uno dei tool di sorveglianza distribuiti dalla firma italiana Cy4Gate; sfruttando il brando di Whatsapp, le vittime sono state indotte a scaricare file di configurazione, o profili “Mobile Device Management” (MDM), capaci di aprire la strada per l’installazione di Epeius.
Nel frattempo, sempre in Italia, si segnalano email di phishing indirizzate ai clienti di Unicredit e della banca diretta N26; inoltre è stato rilevato un falso sito di e-commerce che finge di vendere prodotti ITC e sono state tracciate email con riferimenti a ditte di spedizione che distribuiscono Dridex mediante la botnet Cutwail.

Una firma di sicurezza con base in Francia è caduta vittima di una compromissione; Stormshield ha confermato un accesso non autorizzato ai propri sistemi e il leak di parte del codice sorgente di SNS (Stormshield Network Security). Resettate le password, messo offline il portale “Institute” per il training e allertate le Autorità, al momento non risulterebbero evidenze di modifica illegittima del codice, né di violazione dei prodotti in uso.

La vicenda SolarWinds si arricchisce di nuovi particolari. Uno dei due avversari che hanno abusato della piattaforma sembra essere stato individuato in una compagine di probabile matrice cinese; mentre i sospetti avversari sponsorizzati da Mosca hanno inserito una backdoor nell’aggiornamento del software Orion presente nella piattaforma, i potenziali avversari cinesi avrebbero sfruttato un bug presente in una sezione del codice di Orion che avrebbe permesso loro di diffondersi su reti già violate. Fra i target dei cinesi vi sarebbe la National Finance Center (NFC), un’agenzia federale per i salari operante in seno al Dipartimento dell’Agricoltura degli Stati Uniti.
Ad una situazione già difficile per il vendor di software si aggiunge anche l’annuncio di una firma di sicurezza in merito a 3 vulnerabilità che impattano Orion ed il Serv-U FTP (CVE-2021-25274, CVE-2021-25275, CVE-2021-25276), risolte lo scorso dicembre: le PoC degli exploit verranno rese pubbliche nei prossimi giorni.

Un altro attacco di tipo supply-chain si registra in Asia, ai danni degli utilizzatori di NoxPlayer – un emulatore Android gratuito per PC e Mac – sviluppato dall’azienda di Hong Kong BigNox; finalizzata ad esfiltrare informazioni e dati sensibili, Operazione NightScout, ha avuto carattere particolarmente mirato, con sole 5 vittime (su un campione di 100.000 utilizzatori) raggiunte dai RAT Gh0st e Poisonlvy.

Fra i cryptor è stata tracciata la versione 2.0 di Zeoticus, la cui particolarità è quella di riuscire ad operare senza alcuna connettività col C&C; RansomEXX Team ha iniziato a sfruttare le tre falle di VMware ESXi CVE-2019-5544, CVE-2020-3992, CVE-2020-1472; quanto ad Egregor, una recente indagine porta a sospettare avversari russofoni. Restiamo nell’area ex sovietica con il team russo FIN6 al quale è stata associata, fra le altre, una campagna di distribuzione di Bazar che sembra aprire la strada a Ryuk. Sempre questo sofisticato avversario cybercrime è il protagonista di una scoperta interessante: grazie all’analisi di un sample di Conti, ricercatori di sicurezza sono risaliti da una nota di riscatto effettivamente inviata ad una compagnia del settore energetico del Canada e, da lì, a tutta la procedura di negoziazione e alla rete di wallet attivata dal team per la ricezione dei pagamenti in bitcoin.

Le criptovalute, minate in modo fraudolento, sono oggetto di una campagna globale condotta dal TeamTNT con il malware Hildegard e di una delle operazioni globali che hanno mirato a network comprendenti macchine ad alte prestazioni (High Performance Computing – HPC); sempre contro gli HPC è stata impiegata – ma per altri scopi – la backdoor Kobalos.

Chiudiamo con una serie di bollettini di sicurezza dedicati ad Android e Pixel, soluzioni Apple, Libgcrypt di GNU Privacy Guard (GnuPG), Cisco, Siemens, Rockwell Automation, Fortinet. Va portata particolare attenzione all’aggiornamento straordinario che Google ha approntato per Chrome desktop, che corregge uno 0-day attivamente sfruttato in the wild e individuato con codice CVE-2021-21148.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi