Weekly Threats N. 08 2021

Questa settimana si segnalano alcune campagne malware e phishing contro target italiani, numerose operazioni state-sponsored soprattutto di matrice russa, diversi bollettini di sicurezza e il rilascio, fra le altre, di due PoC per vulnerabilità già corrette.

Utenti email del nostro Paese hanno ricevuto comunicazioni malevole a tema DHL finalizzate a distribuire GuLoader e in altri casi messaggi che veicolano SnakeKeylogger e Ursnif; altre campagne di phishing hanno sfruttato, invece, i temi di fantomatici rimborsi da parte di TIM e dell’Agenzia delle Entrate.

Sul versante state-sponsored la Russia emerge con numerose notizie a carico.
Il team Turla ha incrementato il proprio arsenale con IronNetInjector che distribuisce altre minacce note. Gamaredon, che ha rinnovato la propria infrastruttura di rete e le tecniche di infezione, si sta delineando sempre più come un gruppo APT di secondo livello, che raccoglie informazioni e le condivide con quelli di primo, utilizzando però tecniche proprie di un gruppo cybercrime ben strutturato. Quanto a Red October, se in passato aveva circoscritto i propri interessi a realtà dell’Europa e di parte dell’ex-URSS, negli ultimi mesi sembra aver puntato anche contro target del Medio Oriente.

L’Ucraina ha denunciato un attacco DDoS di matrice russa contro i siti afferenti al Servizio di Sicurezza del Paese e quelli del Consiglio stesso e di altre istituzioni. I dettagli di questa operazione non sono stati pubblicati, ma sono invece disponibili quelli di un’attacco supply-chain verosimilmente sponsorizzato da Mosca contro il National Coordination Center for Cybersecurity (NCCC), controllato dal National Security and Defense Council (NSDC) di Kiev; gli avversari avrebbero abusato del System of Electronic Interaction of Executive Bodies (SEI EB) per distribuire file con macro malevole.

Nel frattempo, Twitter ha annunciato la sospensione di 4 gruppi di account mirati a diffondere contenuti fraudolenti e manipolatori; in tutti i casi si tratta di iniziative riconducibili ad entità governative; sono coinvolti Russia, Armenia e Iran.

Emergono novità sull’attacco contro i ricercatori di sicurezza lanciato dal nordcoreano Lazarus; gli avversari avrebbero sfruttato una vulnerabilità double free di Internet Explorer che è al momento in attesa di correzione e di cui si conoscerà il CVE solo dopo il rilascio delle patch. Sempre a Lazarus è associata una serie di compromissioni ai danni di industrie russe attive nel settore della Difesa; in questo caso è stata sfruttata la backdoor ThreatNeedle.

Ricercatori di sicurezza hanno scoperto che l’exploit “Jian” del cinese APT31 è un clone dell’omologo EpMe realizzato da Equation Group; l’ipotesi è che il team sponsorizzato da Pechino abbia rubato l’exploit molto prima che gli Shadow Brokers rivelassero l’arsenale del team vicino alla NSA statunitense nell’ambito di Lost in Translation (aprile 2017). Ancora cinesi (TA413) sono gli avversari che tra gennaio e febbraio 2021 hanno lanciato una serie di campagne malevole contro organizzazioni tibetane; le offensive hanno visto l’impiego della minaccia Sepulcher e di un’estensione malevola per il browser Mozilla Firefox denominata FriarFox.
APT32, di matrice vietmanita, è invece responsabile di una operazione di spionaggio contro attivisti dei diritti umani di cui sono stati rivelati i dettagli in un report di Amnesty International.

Rimaniamo in un orizzonte globale, ma ci spostiamo sul versante crime. TA505 dalla metà di dicembre 2020 ha sfruttato numerosi 0-day della File Transfer Appliance (FTA) di Accellion per distribuire una webshell chiamata DEWMODE contro i sistemi di diverse compagnie in tutto il mondo; la vicenda presenta un elemento curioso poiché le vittime alle quali sono state rubate informazioni sensibili sono state minacciate di leak attraverso il portale del ransomware Clop – ma il cryptor non è mimimamente implicato nella vicenda. I bug coinvolti non sono ancora noti; in ogni caso, Accellion ha corretto nella propria appliance CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104.
Il ransomware Babuk Locker, attivo dall’inizio del 2021, continua invece a colpire e ha mietuto vittime in Italia, Emirati Arabi e Spagna, poi in USA, Sudafrica, Regno Unito, Germania, India, Cina e Bangladesh.

Quanto alle vulnerabilità, sono stati rilasciati bollettini per numerosi problemi – anche di massima criticità – da parte di Advantech, VMware, Rockwell Automation, Mozilla, Cisco, Palo Alto, Python, PerFact OpenVPN, F5 Networks, ProSoft Technology, Fatek. Particolare attenzione va prestata a due bug già corretti di cui sono state rilasciate di recente le PoC: CVE-2021-24093 di Windows e CVE-2021-21972 di VMware vCenter.

[post_tags]