Distribuzione di malware e phishing a tema bancario in Italia, aggiornamenti sui casi SolarWinds ed Accellion, campagne APT di matrice cinese di cui una particolarmente sofisticata, numerose notizie sui ransomware in attività, decine di vulnerabilità anche 0-day corrette o segnalate pubblicamente: questi i temi della rassegna di questa settimana.

Utenti email del nostro Paese continuano ad essere fra i target di campagne mirate alla distribuzione di malware come GuLoader, sLoad (via PEC), Trickbot (a tema Pfizer), LokiBot (con false fatture), Agent Tesla (a tema ordini); ad esse si aggiunge un nuovo episodio di phishing a tema Intesa Sanpaolo.

Nel panorama internazionale, le vicende che hanno interessato le compagnie Accellion e SolarWinds stanno prendendo nel tempo contorni sempre più ampi e definiti.
Il team TA505, che ha sfruttato l’exploit di uno 0-day dell’appliance FTA distribuita da Accellion, sta colpendo nuovi target. Le rivendicazioni vengono pubblicate sul sito dei leak del ransomware Clop – tool usato da questo avversario, ma non implicato nell’attacco; ultimo fra i nomi apparsi sul portale, quello della compagnia di sicurezza Qualys, che ha ufficialmente confermato un qualche coinvolgimento.
Quanto a SolarWinds, la parte di operazione attribuita al russo Dark Halo è stata condotta con un arsenale notevole; oltre ai già noti Sunburst, Teardrop e Raindrop, sono stati scoperti anche i tool di secondo livello GoldMax (alias SUNSHUTTLE), Sibot e GoldFinder, le cui funzionalità si sono dimostrate molto sofisticate.

Di livello altrettanto elevato è l’operazione condotta da un avversario sponsorizzato da Pechino e basata su 4 falle 0-day di Microsoft Exchange Server 2013, 2016 e 2019. Hafnium si è servito degli exploit per CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065 per colpire soprattutto infettivologi, studi legali, università, aziende del settore difesa, think thank e agenzie non governative, facendo leva anche su VPS geolocalizzati in USA. Sono stati adottati, inoltre, tool open-source quali Covenant e cyberlocker commerciali, come ad esempio MEGA, per esfiltrare i dati sottratti ai sistemi compromessi.
Ancora cinesi sono due campagne lanciate contro obiettivi in India. La prima, firmata Stone Panda, ha mirato a due entità indiane coinvolte nella produzione del vaccino per il COVID19: il Serum Institute of India (SII) – che sta realizzando le dosi vaccino AstraZeneca e che si sta preparando alla produzione anche di quello Novavax – e l’azienda Bharat Biotech.
L’altra, associata a RedEcho, ha teso a colpire 12 organizzazioni del settore energetico e 2 porti marittimi indiani; gli avversari hanno utilizzato la backdoor ShadowPad e una infrastruttura di rete denominata dagli analisti AXIOMATICASYMPTOTE.
Alla galassia Axiom, sempre di matrice cinese, è stato ricondotto un attacco contro una società di telecomunicazioni in Asia Centrale; gli avversari hanno basato le proprie attività malevole sulla backdoor Spyder, l’utility smbexec.py e MSDTC (Microsoft Distributed Transaction Coordinator).

Passiamo ai ransomware. Una recente analisi ha individuato il trojan bancario IcedID come trait-d’union fra Maze ed Egregor; è noto che, una volta chiusi i lavori del primo, alcuni componenti della crew siano passati ad Egregor. Un’altra indagine ha invece rilevato somiglianze – dovute soprattutto al riuso di codice – fra SunCrypt e QNAPCrypt, responsabile di compromissioni ai danni di NAS QNAP risalenti al 2019.
Nel frattempo, nella seconda metà del 2020, sono state realizzate nuove versioni di RansomEXX e Darkside per piattaforme Linux su cui è presente l’hypervisor ESXi sviluppato da VMware. Nessuna vulnerabilità sembra essere stata sfruttata per la compromissione, gli avversari hanno utilizzato credenziali legittime rubate.
A partire da novembre 2020, invece, è stato rilasciato su GitHub il cryptor Povlsomware; presentato come uno strumento di verifica dell’efficacia di prodotti di sicurezza, viene descritto come una PoC (proof of concept) “sicura” che non distrugge i sistemi e non ha capacità di diffusione nel network o verso device amovibili. La particolarità di questo tool consiste nella possibilità di sfruttare in fase di post-exploitation Cobalt Strike (come avviene per Ryuk e DopplePaymer); ciò garantisce l’avvio e l’esecuzione del payload in memoria. Poiché il codice è stato rilasciato open source, gli analisti ipotizzano che a partire da una versione basic come questa qualunque malintenzionato potrà realizzare uno strumento molto più pericoloso.
TFlower legato al nordcoreano Lazarus Group, infine, è stato distribuito attraverso il già noto framework malware MATA.

Gli interventi di sicurezza degli ultimi sette giorni sono numerosi.
Google ha rilasciato quelli schedulati mensilmente per Android e Pixel, Joomla! è disponibile nella versione 3.9.25 che risolve oltre 40 problemi, Chrome 89 corregge varie falle tra cui uno 0-day del quale sono noti casi di exploitation in the wild (CVE-2021-21166).
Sono stati rilasciati dettagli e PoC video di CVE-2020-28243 che impatta SaltStack e che è stata corretta il 4 febbraio 2021; restano ancora da correggere una RCE di WebKit (CVE-2020-13558 – CVSS 8.8) e una local privilege escalation di Linux (CVE-2021-26708 – CVSS 7.0).
Pubblicati bollettini per: FvDesigner di Fatek, il firewall GenuGate di GeNUA, soluzioni di MB connect line, View Planner di vmWare, Apache Tomcat, FortiProxy di Fortinet, diversi prodotti Cisco, 1734-AENTR di Rockwell Automation.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi