WEEKLY THREATS

Weekly Threats N. 12 2021

26 Marzo 2021

Questa settimana alcune campagne malware e phishing hanno continuato a prendere di mira utenti del nostro Paese; Facebook ha bloccato le attività di un gruppo state-sponsored cinese; i server Microsoft Exchange ancora vulnerabili continuano ad esere target di attacchi; si sospetta una violazione ad un’accademia militare britannica; sono stati rilasciati numerosi advisory per problemi di sicurezza anche critici o già sfruttati.

Utenze mail ed SMS italiane stanno ricevendo comunicazioni finalizzate al phishing (a tema Poste Italiane e Monte Paschi) e alla distribuzione di malware come Agent Tesla, Dridex, IcedID e di un ransomware successivamente identificato in JobCrypter; un altro ransomware, chiamato LockTheSystem, sta operando in Italia, veicolato da un’email che impersona il corriere Nexive ed utilizza come esca il tracciamento della spedizione di un ordine.
A livello globale continuano le campagne del gruppo cybercrime Freak (Keksec), attive almeno dall’inizio del 2021 e basate fra l’altro sulla botnet FreakOut (Necro). Inoltre, si registrano nuovi attacchi a server Microsoft Exchange non ancora aggiornati; in particolare, il ransomware BlackKingdom ha sfruttato l’exploit ProxyLogon delle vulnerabilità 0-day di Microsoft Exchange Server (CVE-2021-27065).

Sul versante APT, Facebook ha individuato e bloccato un gruppo di matrice cinese associabile al già noto Evil Eye. L’avversario ha utilizzato la piattaforma social per distribuire malware e compromettere gli account di attivisti, giornalisti e dissidenti prevalentemente tra gli Uiguri dello Xinjiang e dei fuoriusciti in Turchia, Kazakistan, Stati Uniti, Siria, Australia, Canada e altri Paesi.
Di matrice governativa cinese o russa potrebbe essere stata anche una presunta violazione dei sistemi della Defence Academy of the United Kingdom; fonti giornalistiche locali hanno parlato di una compromissione iniziale di un contractor del college militare con sede a Shrivenham (nell’Oxfordshire).

Chiudiamo la nostra rassegna con la consueta raccolta di bollettini di sicurezza.
F5 Networks risolve un bug (CVE-2021-22986) di cui è pubblica la PoC e che risulta già sfruttato in attacchi reali. Google informa che una falla di Android corretta a gennaio 2021 (CVE-2020-11261) potrebbe attualmente essere oggetto di una campagna mirata; il problema riguarda la componente Qualcomm Graphics.
SolarWinds ha rilasciato Orion Platform nella versione 2020.2.5 che corregge numerosi problemi, fra cui due RCE in attesa di codice CVE.
Mozilla ha notificato il rilascio di Firefox 87, Firefox ESR 78.9, Thunderbird 78.9 con fix di rilievo; la versione 1.1.1k di OpenSSL contiene patch per due bug gravi; i numerosi bollettini di Cisco riguardano, fra le altre, vulnerabilità di Jabber (di cui CVE-2021-1411, critica).

[post_tags]