Weekly Threats N. 10 2021

Nella settimana che si sta per concludere sono state scoperte alcune campagne globali che hanno colpito anche in Italia; il caso Microsoft Exchange Server ha assunto dimensioni decisamente più ampie; sono continuati senza sosta gli attacchi ransomware e sono state tracciate operazioni di diversa natura a tema COVID19; fra i bollettini di sicurezza schedulati e straordinari sono presenti anche vulnerabilità 0-day già sfruttate.

L’Italia questa settimana compare fra le vittime di alcune campagne di vasto respiro, oltre che delle ormai consuete operazioni di phishing e distribuzione di trojan.
FIN8, un gruppo cybercrime, ha impiegato una rinnovata variante della propria backdoor BADHATCH contro industrie attive nei settori assicurativo, delle rivendite, tecnologico e chimico localizzate negli USA e in Canada, a Panama e Puerto Rico, in Italia e in Sudafrica.
Un nuovo team, battezzato Netbounce, ha distribuito una serie di downloader che si spacciano per una soluzione software della Packity Networks; gli avversari speravano di indurre una firma di sicurezza a convalidare la legittimità del proprio tool, ma sono stati scoperti. Si registrano compromissioni in tutto il mondo, con una buona consistenza anche in Italia.
Ancora una vittima italiana, questa volta di un cyberattacco di cui non si conoscono le specifiche; l’operatore telematico indipendente Viasat Group ha confermato l’incidente precisando che sono stati coinvolti i server localizzati nei nostri confini; messi offline in via precauzionale tutti i sistemi, sono in corso le operazioni di bonifica; non risulterebbero violazioni dei dati dei clienti.

Le vulnerabilità di Microsoft Exchange Server – individuate cumulativamente come ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065) e inizialmente associate all’attacco condotto dall’APT cinese Hafnium contro target degli USA – sono risultate al centro di un enorme numero di compromissioni, condotte prima e dopo il rilascio delle patch del 2 marzo 2021 da almeno altre 10 compagini.
Ad esse si aggiungono avversari che si avvalgono del ransomware human-driven DearCry.
Fra le vittime eccellenti degli exploit ProxyLogon compaiono l’EBA (European Banking Authority) e il Parlamento norvegese, che cade per la seconda volta in sei mesi sotto i colpi di un attacco cibernetico.

Una notizia di rilievo dal versante ransomware. Ryuk ha bloccato i sistemi del SEPE (Servicio Público de Empleo Estatal) mettendo in seria difficoltà 700 agenzie in tutta la Spagna e creando problemi anche ai dipendenti in smart working.
Nel frattempo, il tema COVID19 continua ad essere sfruttato per campagne malevole di varia natura, dal BEC al phishing alla distribuzione di malware, a livello globale. La Russia, invece, opera sul versante della disinformazione; sono state scoperte 4 pubblicazioni scientifiche online che si ritengono collegate all’intelligence russa – News Eastern e l’Oriental Review, News Front e Rebel Inside – sulle quali vengono pubblicati contenuti denigratori all’indirizzo dei vaccini occidentali, compresi Pfizer e Moderna.

Chiudiamo con i bollettini di sicurezza. Un’attenzione particolare va prestata al Patch Tuesday di Microsoft, che risolve quasi 90 vulnerabilità. Di queste, 5 risultano sfruttate attivamente: CVE-2021-26855, CVE-2021-26857, CVE-2021-27065 (critical), CVE-2021-26858 (important); della CVE-2021-27077 (important), di cui non sono noti casi di exploitation, sarebbe pubblica una PoC.
Sono disponibili le Note del Security Patch Day di SAP; sono stati rilasciati advisory dell’ICS-CERT per prodotti Siemens e Schneider Electric; un advisory che segnala falle critiche in BIG-IP arriva anche da F5 Networks; diversi bollettini di Adobe per gravi bug in molti prodotti; Apple corregge una sola falla di WebKit in Safari e nei sistemi operativi.