Weekly Threats N. 06 2021

Questa settimana un’operazione condotta dal CNAIPIC e originata da uno spunto investigativo emerso durante indagini svolte in collaborazione col TS-WAY ha portato all’arresto dell’avversario Glaaki; si apprendono novità sullo spyware Epeius ed emerge un nuovo attacco basato su Orion SolarWinds non associabile alle vicende già note; sono state tracciate campagne malevole di diversa natura contro utenti italiani, alcune operazioni APT e campagne crime di portata globale; continuano ad arrivare aggiornamenti dal comparto ransomware; si registrano casi di sfruttamento di falle 0-day; infine, è stato smantellato uno dei più grandi servizi per il phishing bancario.

Il CNAIPIC della Polizia Postale ha individuato un cittadino italiano con residenza nella provincia di Taranto ritenuto responsabile di una campagna di phishing che ha sfruttato il tema COVID-19. Operazione Glaaki deriva il nome da quello assegnato all’avversario dagli esperti di sicurezza informatica di TS-WAY che per primi ne hanno tracciato le attività malevole a partire dal febbraio 2020. All’uomo, un quarantacinquenne esperto in codici di programmazione le cui iniziali sono C. G., vengono contestati i reati di “detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici” (art. 615 quater c.p.) e “diffusione di programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico” (art.615 quinquies c.p.).

Un presunto malfunzionamento dello spyware Epeius realizzato dalla compagnia italiana Cy4gate – di cui la settimana scorsa sono state rese note alcune attività – ha procurato guai alla società Sio spa (con base a Cantù) che lo utilizza a noleggio. La Sio collabora con le Autorità italiane fornendo prestazioni funzionali per lo svolgimento di attività di intercettazione telematica passiva ed attiva; i disservizi rilevati in questo tool hanno indotto la Procura di Napoli a sospendere le future collaborazioni con la Sio; nel frattempo, anche la Direzione nazionale Antimafia ha avviato indagini in merito.

Nel nostro Paese non si fermano le campagne di matrice crime volte a distribuire malware o a sottrarre informazioni sensibili: Dridex ha sfruttato il tema delle fatturazioni, abusando del logo dell’operatore della logistica americano C.H.Robinson; messaggi fraudolenti a tema Amazon hanno mirato alle credenziali bancarie degli utenti Signal; Formbook ha usato l’esca dei bonifici, mentre email a tema Enel Energia hanno indotto le vittime ad autorizzare trasferimenti di denaro agli avversari; Ursnif continua ad essere veicolato da mail con esca MISE; i clienti di Intesa San Paolo sono stati oggetto di smishing.

Ancora sotto il riflettori il produttore di software SolarWinds; una firma di sicurezza ha scoperto sistemi infettati con una versione malevola di Orion. Il fatto sembra essere del tutto irrelato rispetto all’attacco di tipo supply-chain recentemente scoperto; stavolta la backdoor è stata iniettata in una singola installazione direttamente in OrionWeb.dll nel portale di Orion Solarwinds; il file malevolo – capace di realizzare il dump completo di credenziali LDAP – è stato scaricato nei sistemi e poi sostituito a quello legittimo.

Le campagne crime di portata globale vedono la distribuzione di miner attraverso botnet che colpiscono sistemi Mongo, Confluence e vBulletin (Rinfo) oppure piattaforme Docker e Redis vulnerabili.

Quanto ai ransomware segnaliamo l’emersione del nuovo Seth-Locker, di varianti inedite per TeslaCrypt e CobraLocker e di aggiornamenti per Maoloa e Babuk Locker; FIN6 continua ad utilizzare Bazar per aprire la via a Ryuk; il produttore polacco di videogiochi CD Projekt Red è stato colpito da HelloKitty.

Sul versante APT sono state scoperte novità in merito a due realtà sponsorizzare da Teheran. Il gruppo MuddyWater ha avviato una campagna di spear phishing contro agenzie governative degli Emirati Arabi e del Kuwait; l’operazione Prince of Persia, attiva da oltre 14 anni contro target in Europa e Iran, si è dotata del nuovo tool Tonnerre.
Anche il cinese Radio Panda ha ampliato il proprio arsenale con l’aggiunta di BendyBear, uno shellcode multifunzione impiegato nella fase di post-exploitation.
L’APT indiano Dropping Elephant ha invece sfruttato uno 0-day di Microsoft che è stato corretto proprio nel Patch Tuesday di febbraio 2021; tale vulnerabilità, tracciata con codice CVE-2021-1732 (CVSS 7.8), riguarda Windows Win32k e consente di elevare i privilegi.

Sfruttato in una campagna limitata a pochi target anche uno 0-day di Adobe Reader per Windows (CVE-2021-21017); si tratta di un Heap-based Buffer Overflow che consente l’esecuzione di codice arbitrario e che è stato corretto negli ultimi giorni insieme a decine di falle che impattano diversi prodotti Adobe.
Ancora un caso di exploitation per una RCE che affligge il plugin File Manager; attacchi in the wild risalenti al dicembre 2020 si sono basati sulla CVE-2020-25213 per installare webshell a loro volta usate per eseguire il malware Kinsing.
Pubblicato l’exploit di una RCE (CVE-2021-3129) che affligge l’applicazione web Laraval in presenza di Ignition e che risulta già sfruttata in the wild.
Rese note da una firma di sicurezza le 9 falle “NUMBER:JACK” che impattano diversi TCP/IP stack: CVE-2020-27213, CVE-2020-27630, CVE-2020-27631, CVE-2020-27632, CVE-2020-27633, CVE-2020-27634, CVE-2020-27635, CVE-2020-27636 e CVE-2020-28388.
Rilasciate le Note mensili per i prodotti SAP e numerosi bollettini per Intel; corrette o segnalate falle in Cscape di Horner Automation, KeyShot di Luxion, iFIX di GE Digital, iView di Advantech, Endpoint Security (ENS) di McAfee, DriveTools SP e Drives AOP di Rockwell Automation.

Chiudiamo con la notizia di un altro arresto realizzato dalle Autorità e Forze di Polizia ucraine in collaborazione con le Forze dell’Ordine degli Stati Uniti e dell’Australia; un 39enne residente nella regione di Ternopil (Ucraina) è accusato di essere il creatore ed amministratore di uno dei più grandi servizi di phishing bancario; l’infrastruttura – che ha consentito di mirare a istituti finziari di 11 Paesi fra cui anche l’Italia – è stata smantellata.