Weekly Threats N. 07 2021

Campagne cybercrime e un episodio hacktivista in Italia, un’operazione APT di particolare rilievo, attacchi basati su falle 0-day, incriminazioni e arresti eccellenti, un nuovo malware e numerosi bollettini di sicurezza; questo è il contenuto della rassegna settimanale.

Nel nostro Paese è tornato a colpire il gruppo LulzSecITA dopo un lungo periodo di apparente inattività; il team ha dichiarato sul proprio profilo Twitter di essere in possesso dei dati degli utenti dell’app DigiTaxi, che consente di prenotare taxi.
Continuano le campagne di distribuzione dei malware Agent Tesla, Ursnif (con false email del MISE) e Dridex (con false comunicazioni di MSC); ancora phishing mirato contro utenti Aruba e, infine, è stato tracciato un ransomware che rilascia una richiesta dall’esplicita intonazione discriminatoria.

A livello internazionale, l’APT russo Sandworm ha messo a segno una violazione ai danni della compagnia francese Centreon, che distribuisce l’omonima soluzione di monitoraggio; su molti server esposti in internet sono state rilevate le webshell P.A.S. e la backdoor con funzioni di RAT Exaramel; le due minacce mostrano diversi elementi in comune col famigerato Industroyer, lanciato dal gruppo contro i sistemi di una centrale elettrica in Ucraina nel 2017.
Dalle due Coree giungono diverse notizie. Il servizio di intelligence nazionale di Seul accusa Pyongyag di aver tentato di violare i sistemi informatici di Pfizer al fine di esfiltrare la tecnologia utilizzata dalla compagnia farmaceutica per il vaccino COVID19, mentre ScarCruft continua a colpire in Corea del Sud con email di phishing a tema coronavirus. Il team Lazarus, invece, ha subito l’incriminazione, da parte del Dipartimento di Giustiza USA (DoJ), di 3 funzionari dell’intelligence militare della Corea del Nord. L’accusa estende le azioni mosse già nel 2018 dall’FBI contro uno dei 3 imputati – Park Jin Hyok (36 anni) – per WannaCry e per l’attacco contro la Sony Pictures Entertainment del 2014; gli altri due sono Jon Chang Hyok (31 anni) e Kim Il (27 anni). Fra i nuovi addebiti compaiono la realizzazione della versione 2.0 di WannaCry, attacchi SWIFT, la distribuzione di applicazioni malevole per criptovalute.

Un’operazione di polizia franco-ucraina – avviata dal J3 Cyber ​​del Tribunal de Grande Instance de Paris con il coivolgimento anche della sede olandese dell’Europol – ha consentito l’arresto di alcuni cittadini ucraini accusati di far parte di Egregor Team.
L’NWO, il Consiglio Nazionale per la ricerca dei Paesi Bassi, ha subito una compromissione che ha interdetto la funzionalità di buona parte dei sistemi; il server esterno che ospita le applicazioni e il sistema di reporting ISSAC, utilizzato per la sottoscrizione delle richieste di finanziamento da parte dei ricercatori, sebbene non coinvolto, è stato disattivato in via precauzionale e quindi tutte le attività dell’organizzazione sono state sospese.
Fonti di stampa locale riferiscono di un attacco cyber che avrebbe interessato il Ministero della Difesa greco; non sono disponibili i dettagli, ma fonti ufficiose parlano di un ransomware.

Diverse vulnerabilità 0-day della File Transfer Appliance (FTA) prodotta da Accellion sarebbero alla base della violazione subita da Singtel, l’operatore di telecomunicazioni numero uno in Asia e proprietario della compagnia australiana di telecomunicazioni Optus.
Un’altra 0-day (CVE-2021-1801), ma di WebKit, è stata sfruttata dal gruppo dedito al malvertising ScamClub; la falla è stata corretta da Apple all’inizio di febbraio. Una variante dell’adware per MacOS Pirrit, che si presenta nelle vesti dell’app GoSearch22, si è mostrata in grado di colpire i nuovi system-on-chip (SoC) M1, in dotazione ai più recenti MacBook Air e MacBook Pro.

Chiudiamo con la lista di prodotti e soluzioni per i quali sono stati rilasciati bollettini di sicurezza: VMware, F5 Networks, Siemens, SHAREit, Telegram per macOS, Chrome desktop, OpenSSL, Rockwell Automation, Drawings SDK distribuito da Open Design Alliance, NAS QNAP, Cisco, BIND.

[post_tags]