Weekly Threats N. 13 2021

Questa settimana alcune campagne malware e phishing hanno continuato a prendere di mira utenti del nostro Paese; sono ancora target di attacchi i server Microsoft Exchange vulnerabili. Sono state tracciate diverse offensive ransomware ed un tentativo di inserimento di una backdoor nel codice di PHP. Sono stati rilasciati numerosi advisory per problemi di sicurezza anche critici.

In Italia sono state rilevate varie campagne di phishing, alcune delle quali tese esclusivamente ad esfiltrare informazioni personali e bancarie. Nelle mail sono stati utilizzati temi quali BRT, Nexi, Eni Gas e Luce, DHL, Enel Energia, N26, Agenzia delle Entrate e INPS. È stata osservata anche una campagna che attraverso PEC veicolava sLoad. GIi altri malware tracciati sono stati Dridex, Remcos, Ursnif e TrickBot, quest’ultimo distribuito utilizzando mail a tema COVID-19. Sempre in italia si fa notare un attacco contro il Comune di Brescia di tipo CryptoLocker e un breach dell’azienda Boggi Milano, ad opera del Ragnarok Team, che ha portato all’esfiltrazione di 40 gb di dati.

Sul versante APT il gruppo di matrice cinese Calypso ha sfruttato le vulnerabilità di Microsoft Exchange distribuendo il malware PlugX. Il gruppo sponsorizzato dal governo iraniano Charming Kitten (TA453, PHOSPHORUS) è stato ritenuto invece responsabile di una campagna di phishing mirata contro personale di alto livello di organizzazioni per la ricerca in campo medico localizzate negli USA e in Israele. L’operazione, battezzata BadBlood, risale al dicembre 2020.
In Cina è stato rilevato e analizzato un malware riconducibile all’avversario vietnamita APT32, distribuito in associazione con l’eseguibile “lenovodrvtray” e che risulta essere molto avanzato. Sempre nell’ambito delle numerose campagne che stanno prendendo di mira server Microsoft Exchange vulnerabili, di recente sono stati rilevati, in due diversi frangenti, attacchi basati su una backdoor chiamata dagli analisti Babydraco.

A livello globale spicca la campagna del ransomware Hades, l’evoluzione di WastedLocker distribuita dal team TA505. Iniziata a dicembre 2020, si è rivolta contro grandi aziende americane e al momento conta 3 vittime certe: una nota azienda specializzata nel settore della logistica e altre due attive in quello dei prodotti di consumo e della manifattura. La nota di riscatto utilizzata è molto simile a quella del REvil Team. Rilevante l’attacco contro il server Git di PHP che, se fosse riuscito nel suo intento, avrebbe portato l’avversario ad installare una backdoor nei siti che utilizzano PHP (circa l’80% del web). Aziende canadesi, americane ed inglesi attive nel settore dei servizi professionali sono state il target di una campagna di phishing tesa a distribuire il trojan ZeusSphinx (Zloader) tramite il ricorso a documenti MHTML. Parlamentari tedeschi sono stati invece al centro di un attacco cyber associato al gruppo di matrice riussa responsabile della campagna di disinformazione Ghostwriter.

Sono state tracciate poi 4 campagne finalizzate alla diffusione dei seguenti ransomware: REvil che ha visto l’impiego anche di IcedID e Cobalt Strike; Avaddon il cui team omonimo ha rilasciato un aggiornamento che annulla l’efficacia del decrypter del ransomware stesso creato da una firma di sicurezza; Matrix che ha aggiunto come metodo di attacco il brute force delle credenziali RDP e Clop che ha iniziato a contattare i clienti delle vittime per indurre quest’ultime a pagare il riscatto. Questa tattica è stata già stata vista in azione contro Flagstar Bank e la University of Colorado.

La compagnia Ubiquiti è stata vittima di un data breach a seguito di un attacco che ha interessato i database su Amazon Web Services (AWS). Le conseguenze sarebbero state definite “catastrofiche” e si sospetta che gli esiti resi noti siano stati minimizzati.
Infine è stata rilevata una falla nell’architettura di network slicing delle reti 5G, ma dato che questa tecnologia di slicing non è ancora diffusa non si rilevano attacchi.

Chiudiamo la nostra rassegna con la consueta raccolta di bollettini di sicurezza. Apple ha rilasciato aggiornamenti per le sue piattaforme mobile, VMWare ha rilasciato varie patch per vulnerabilità critiche di alcuni suoi prodotti, la più grave è presente in Carbon Black Cloud Workload (CVE-2021-21982). Rockwell Automation ha rilasciato una patch per il suo FactoryTalk AssetCentre, affetto da 9 falle critiche con CVSS 10.0. Nel plugin Facebook Pixel per WordPress sono state trovate vulnerabilità ed è stata rilasciata la patch nella versione 3.0.0. Sono stati tracciati 3 bug importanti che impattano ImageGear 19.8. SpamAssassin è stato rilasciato nella versione 3.4.5 che corregge una vulnerabilità critica (CVE-2020-1946 CVSS 9.8) che consente RCE. WebKitGTK è stato aggiornato su Ubuntu (ricordiamo che ad inizio marzo Apple aveva rilasciato patch per stesse CVE). È stata scoperta una vulnerabilità di tipo improper input validation nel pacchetto NPM “Netmask”. Per quanto riguarda il kernel Linux sono state rilasciate alcuna patch per risolvere delle falle che sono utili per aggirare le attuali soluzioni di mitigazione di Spectre.

[post_tags]