Weekly Threats N. 09 2021

Distribuzione di malware e phishing a tema bancario in Italia, aggiornamenti sui casi SolarWinds ed Accellion, campagne APT di matrice cinese di cui una particolarmente sofisticata, numerose notizie sui ransomware in attività, decine di vulnerabilità anche 0-day corrette o segnalate pubblicamente: questi i temi della rassegna di questa settimana.

Utenti email del nostro Paese continuano ad essere fra i target di campagne mirate alla distribuzione di malware come GuLoader, sLoad (via PEC), Trickbot (a tema Pfizer), LokiBot (con false fatture), Agent Tesla (a tema ordini); ad esse si aggiunge un nuovo episodio di phishing a tema Intesa Sanpaolo.

Nel panorama internazionale, le vicende che hanno interessato le compagnie Accellion e SolarWinds stanno prendendo nel tempo contorni sempre più ampi e definiti.
Il team TA505, che ha sfruttato l’exploit di uno 0-day dell’appliance FTA distribuita da Accellion, sta colpendo nuovi target. Le rivendicazioni vengono pubblicate sul sito dei leak del ransomware Clop – tool usato da questo avversario, ma non implicato nell’attacco; ultimo fra i nomi apparsi sul portale, quello della compagnia di sicurezza Qualys, che ha ufficialmente confermato un qualche coinvolgimento.
Quanto a SolarWinds, la parte di operazione attribuita al russo Dark Halo è stata condotta con un arsenale notevole; oltre ai già noti Sunburst, Teardrop e Raindrop, sono stati scoperti anche i tool di secondo livello GoldMax (alias SUNSHUTTLE), Sibot e GoldFinder, le cui funzionalità si sono dimostrate molto sofisticate.

Di livello altrettanto elevato è l’operazione condotta da un avversario sponsorizzato da Pechino e basata su 4 falle 0-day di Microsoft Exchange Server 2013, 2016 e 2019. Hafnium si è servito degli exploit per CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065 per colpire soprattutto infettivologi, studi legali, università, aziende del settore difesa, think thank e agenzie non governative, facendo leva anche su VPS geolocalizzati in USA. Sono stati adottati, inoltre, tool open-source quali Covenant e cyberlocker commerciali, come ad esempio MEGA, per esfiltrare i dati sottratti ai sistemi compromessi.
Ancora cinesi sono due campagne lanciate contro obiettivi in India. La prima, firmata Stone Panda, ha mirato a due entità indiane coinvolte nella produzione del vaccino per il COVID19: il Serum Institute of India (SII) – che sta realizzando le dosi vaccino AstraZeneca e che si sta preparando alla produzione anche di quello Novavax – e l’azienda Bharat Biotech.
L’altra, associata a RedEcho, ha teso a colpire 12 organizzazioni del settore energetico e 2 porti marittimi indiani; gli avversari hanno utilizzato la backdoor ShadowPad e una infrastruttura di rete denominata dagli analisti AXIOMATICASYMPTOTE.
Alla galassia Axiom, sempre di matrice cinese, è stato ricondotto un attacco contro una società di telecomunicazioni in Asia Centrale; gli avversari hanno basato le proprie attività malevole sulla backdoor Spyder, l’utility smbexec.py e MSDTC (Microsoft Distributed Transaction Coordinator).

Passiamo ai ransomware. Una recente analisi ha individuato il trojan bancario IcedID come trait-d’union fra Maze ed Egregor; è noto che, una volta chiusi i lavori del primo, alcuni componenti della crew siano passati ad Egregor. Un’altra indagine ha invece rilevato somiglianze – dovute soprattutto al riuso di codice – fra SunCrypt e QNAPCrypt, responsabile di compromissioni ai danni di NAS QNAP risalenti al 2019.
Nel frattempo, nella seconda metà del 2020, sono state realizzate nuove versioni di RansomEXX e Darkside per piattaforme Linux su cui è presente l’hypervisor ESXi sviluppato da VMware. Nessuna vulnerabilità sembra essere stata sfruttata per la compromissione, gli avversari hanno utilizzato credenziali legittime rubate.
A partire da novembre 2020, invece, è stato rilasciato su GitHub il cryptor Povlsomware; presentato come uno strumento di verifica dell’efficacia di prodotti di sicurezza, viene descritto come una PoC (proof of concept) “sicura” che non distrugge i sistemi e non ha capacità di diffusione nel network o verso device amovibili. La particolarità di questo tool consiste nella possibilità di sfruttare in fase di post-exploitation Cobalt Strike (come avviene per Ryuk e DopplePaymer); ciò garantisce l’avvio e l’esecuzione del payload in memoria. Poiché il codice è stato rilasciato open source, gli analisti ipotizzano che a partire da una versione basic come questa qualunque malintenzionato potrà realizzare uno strumento molto più pericoloso.
TFlower legato al nordcoreano Lazarus Group, infine, è stato distribuito attraverso il già noto framework malware MATA.

Gli interventi di sicurezza degli ultimi sette giorni sono numerosi.
Google ha rilasciato quelli schedulati mensilmente per Android e Pixel, Joomla! è disponibile nella versione 3.9.25 che risolve oltre 40 problemi, Chrome 89 corregge varie falle tra cui uno 0-day del quale sono noti casi di exploitation in the wild (CVE-2021-21166).
Sono stati rilasciati dettagli e PoC video di CVE-2020-28243 che impatta SaltStack e che è stata corretta il 4 febbraio 2021; restano ancora da correggere una RCE di WebKit (CVE-2020-13558 – CVSS 8.8) e una local privilege escalation di Linux (CVE-2021-26708 – CVSS 7.0).
Pubblicati bollettini per: FvDesigner di Fatek, il firewall GenuGate di GeNUA, soluzioni di MB connect line, View Planner di vmWare, Apache Tomcat, FortiProxy di Fortinet, diversi prodotti Cisco, 1734-AENTR di Rockwell Automation.