Weekly Threats N. 14 2021

In Italia questa settimana sono state rilevate varie campagne di malpam le quali veicolavano malware come Ursnif, IcedID, Agent Tesla, Guloader e Formbook oppure reindirizzavano a pagine di phishing impersonando ad esempio Aruba. Si segnala inoltre l’attacco ransomware al registro elettronico Axios.

Sul fronte APT è stata scoperta una campagna portata avanti da Lazarus contro aziende del settore logistico sudafricano. Sempre Lazarus ha utilizzato una rivista militare sudcoreana per veicolare malware attraverso macro inserite nel documento.
È stata tracciata una campagna finalizzata alla diffusione di una nuova backdoor chiamata SideTwist da parte del gruppo iraniano OilRig (APT34) contro target libanesi.
Inoltre, avversari non identificati hanno scansionato dispositivi FortiOS alla ricerca di vulnerabilità critiche non patchate in modo da prendere il controllo delle reti.
Sempre a livello globale spicca l’ingente data breach che ha coinvolto oltre 530 milioni di utenti Facebook. Gli avversari sembrano aver ottenuto accesso ai dati estraendoli dalla piattaforma prima di settembre 2019 impiegando una tecnica di scraping, questo è quanto è emerso in una nota pubblicata dal gigante dei social media.
L’Azerbaijan è stato il target di due campagne di spear-phishing – una delle quali denominata Aurora – tese a distribuire il RAT Fairfax (in .NET) e RAT in Python. Le minacce Python venivano veicolate tramite documenti esca che fingevano di provenire dalla SOCAR – la compagnia petrolifera dello Stato azero.
Sono state tracciate due ulteriori campagne, una che si finge il Ministero degli Affari Interni russo ed un’altra istituzioni di Paesi del Medio Oriente che, attraverso pubblicità di siti per adulti, distribuiscono estensioni per browser malevole che ne inibiscono il funzionamento e hanno come obiettivo il pagamento di una “multa”.
Il gruppo di cyberspionaggio Hellsing ha condotto una campagna contro organizzazioni militari e governative vietnamite. La tecnica utilizzata consiste nell’impiego del loader FoundCore e di una DLL contenente shell code malevolo.

Tra le altre operazioni rilevate spicca una campagna di matrice palestinese, ad opera di AridViper, che ha preso di mira soldati israeliani anche grazie ad un’applicazione capace di cambiare il tono delle voci e chiamata Morph Vox Pro; un builder per documenti di phishing, chiamato EtterSilent, sfruttato da numerosi avversari e distribuito in forum underground di lingua russa; un nuovo trojan bancario di nome Janeleiro, le cui prime apparizioni sono riconducibili al 2019 e del quale, nel mese di marzo 2021, è stata trovata una versione più avanzata. La minaccia colpisce utenti corporate in Brasile e viene distribuita tramite allegati mail.
Recentemente sono stati tracciati il ransomware Phobos in una nuova variante chiamata Fair che dispone di rinnovate tecniche fileless e capacità di elusione della detection; un infostealer di matrice russa denominato Poulight e mascherato come file TXT tramite la tecnica RLO (Right-to-Left Override); una nuova versione del ransomware REvil che ha implementato una tecnica per il reboot in Safe Mode.
Novità anche per Cuba ransomware, una minaccia distribuita dall’omonimo team, di cui è stato individuato il sito web per la pubblicazione dei dati esfiltrati alle vittime. Sulla base delle analisi, è emerso che il ransomware ha colpito diverse aziende del settore finanziario, industriale, tecnologico e della logistica in nord e sud America così come in Europa.
Sono stati inoltre rilevati attacchi basati sul ransomware Cring contro diverse società del settore industriale in Europa. Gli avversari hanno sfruttato come vettore iniziale l’exploit per una vulnerabilità di tipo directory traversal che impatta l’appliance Fortigate SSL VPN (CVE-2018-13379).

È stata scoperta una nuova versione del malware per Android Joker. È la prima comparsa di un malware su AppGallery, l’app store ufficiale del produttore di dispositivi Android Huawei. In Germania sono stati invece trovati malware preinstallati negli smartphone a marchio Gigaset, uno dei quali mascherato come applicazione “Update”.

Il tema COVID19 – nonché quello delle scadenze fiscali – sono stati al centro di diverse campagne di phishing tese a distribuire il malware TrickBot ricorrendo sia a documenti che a siti malevoli.

Per quanto riguarda le vulnerabilità, sono state rilasciate patch per vari prodotti di aziende come Zimbra, Jenkins, Fortinet, ABB e Cisco. Inoltre sono stati rilasciati i bollettini di aprile per Android e Pixel. Questa settimana, infine, si è tenuta la competizione Pwn2Own nell’ambito della quale sono state scoperte vulnerabilità gravissime in prodotti quali Microsoft Exchange Server, Microsoft Teams, Windows 10, Zoom e Safari.