Weekly Threats N. 11 2021

La settimana che si avvia alla conclusione è stata segnata da numerose campagne malevole in Italia; emergono un’operazione basata su numerosi exploit 0-day e un nuovo attore di probabile matrice state-sponsored; continuano i tracciamenti di attacchi APT di differenti carature; la distribuzione di ransomware non conosce sosta; fra le vulnerabilità corrette vi sono anche bug i cui exploit risultano pubblici.

Ursnif mantiene il primato delle operazioni di phishing contro utenze italiane; fra le varie esche sfruttate vi sono comunicazioni dell’Agenzia delle Entrate e del corriere Bartolini; ma in una occasione gli avversari hanno commesso un errore, utilizzando macro fallate che ne hanno vanificato gli sforzi. Rilevate campagne di distribuzione anche di Agent Tesla, Dridex e IcedID; nuove ondate di phishing (a tema Intesa Sanpaolo) e smishing (a tema Amazon).

Desta notevole interesse una campagna di watering hole, i cui contorni restano ancora tutti da delineare, che nei mesi di febbraio e ottobre 2020 ha sfruttato variamente gli exploit di 11 falle 0-day, in catena anche con bug noti, per compromettere sistemi Windows, Android e iOS. I codici sono CVE-2020-6418, CVE-2020-0938, CVE-2020-1020, CVE-2020-1027, CVE-2020-15999, CVE-2020-17087, CVE-2020-16009, CVE-2020-16010, CVE-2020-27930, CVE-2020-27950, CVE-2020-27932.

In campo internazionale si è palesato un nuovo attore – battezzato dagli analisti SilverFish – che vanta know-how e TTP particolarmente sofisticati. Il team, di presumibile matrice russa, ha messo in campo un’infrastruttura del C&C gestita da almeno 4 team coordinati e un vasto arsenale che comprende anche lo script custom per l’enumerazione Sarasota. La campagna che ha lanciato lo scorso anno contro target di numerosi settori (anche governativi) in Europa e USA sembra correlata alle altre della vicenda SolarWinds e presenta alcune evidenze tecniche in comune con TA505, DarkHydrus e FIN6. Una particolarità che contraddistingue questo avversario è l’impiego di alcuni sistemi compromessi come sandbox per il testing delle proprie minacce; gli analisti hanno ironicamente rinominato la struttura “VictimTotal”.

Il SUPO – l’agenzia di intelligence finlandese – ha confermato pubblicamente l’implicazione del cinese APT31 nell’attacco del dicembre 2020, andato a buon fine contro i sistemi del Parlamento.
Un’altra compagine cinese, Mustang Panda, ha lanciato Operation Dianxun contro società del settore delle telecomunicazioni, finalizzata all’esfiltrazione di dati relativi al 5G; i target censiti sono localizzati negli USA e in India.
Il Governo di Delhi, dal canto suo, ha sponsorizzato una campagna contro i sostenitori dei separatisti Sikh; si ipotizza la mano di team come Dropping Elephant o Bahamut nella distribuzione, tramite siti di phishing, di un’applicazione Android fraudolenta.
Il 21 gennaio è stata scoperta una nuova infrastruttura di rete associabile ancora a un avversario cinese, Tonto Team; l’ipotesi più avvalorata è che si tratti della prosecuzione su nuove basi di Operation LagTime, avviata nel 2019 contro agenzie governative per la tecnologia d’informazione in Mongolia e Russia.
Rimaniamo nella regione dell’ex URSS: l’intelligence ucraina (SBU) rivolge accuse ufficiali contro il gruppo controllato da Mosca Gamaredon in relazione a un’attività in larga scala mirata contro i sistemi delle più alte Autorità del paese.

Il gruppo crime TA505 è stato invece associato alla minaccia ransomware Hades, adottata dal 2020 nel tentativo di aggirare le sanzioni del Governo USA. L’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro ha infatti vietato le facilitazioni per i pagamenti di riscatti ingenti, nel tentativo di arginare le numerose incursioni del team russo che, negli anni passati, ha imperversato grazie al malware Dridex e al cryptor WastedLocker.
Anche per il ransomware Pysa si sono scomodate le Autorità americane. Un alert dell’FBI mette in guardia su una campagna lanciata contro istituti del settore della formazione – specificatamente scuole primarie e secondarie, nonché seminari – localizzati in almeno 12 Stati USA e nel Regno Unito.

Chiudiamo la rassegna con la consueta messe di vulnerabilità. Google ha avviato la distribuzione di Chrome per desktop nella versione 89.0.4389.90 che risolve anche un bug di cui è noto l’exploit (CVE-2021-21193: Use after free in Blink).
Pubblicata anche la PoC dell’exploit per due di tre vecchie falle del kernel Linux corrette lo scorso luglio (CVE-2021-27363 e CVE-2021-27365); insieme a CVE-2021-27364, erano presenti dal 2006.
Inoltre sono stati rilasciati, fra gli altri, bollettini da parte di Netgear (5 falle negli switch ProSAFE Plus JGS516PE / GS116Ev2) e Cisco (grave bug nei dispositivi RV132W e RV134W).