Weekly Threats N. 15 2021

Negli ultimi giorni l’Italia è stata interessata da campagne malevole di varia natura, fra cui due basate su ransomware che hanno colpito i sistemi di istituzioni come Comuni e una Unità Sanitaria Locale; è stato scoperto l’ennesimo attacco supply-chain che ha impattato un’altra società di sviluppo software; emergono novità anche dall’orizzonte APT; sul versante crime internazionale sono stati descritti attacchi che abusano di soluzioni legittime e diverse operazioni nel campo delle cryptovalute; fra i bollettini di sicurezza schedulati e straordinari compaiono anche vulnerabilità 0-day sfruttate attivamente.

Il DopplePaymer Team ha messo a segno una serie di compromissioni che hanno coinvolto, fra l’altro, anche i Comuni italiani di Brescia, Rho e Caselle Torinese. La USL Umbria 2, invece, ha subito gli effetti di un cryptor di cui ancora non è noto il nome; si sono registrati disagi in numerosi dipartimenti, ma le attività relative alla vaccinazione e ai tamponi per il Coronavirus non sono state interessate.
Continuano ad essere distribuiti malware come Nocturnal Stealer (con email a tema SWIFT), AsyncRAT e FormBook (entrambi con false notifiche di ordini); e non hanno sosta nemmeno le campagne di phishing a tema Aruba e Banca Intesa Sanpaolo. Emerge poi un’operazione di matrice russa che ha mietuto vittime in vari Paesi dell’Unione Europea fra cui l’Italia, basata su Flubot; il malware per Android ha come vettore iniziale messaggi SMS con falsi link per il tracking delle spedizioni.

Una nuova offensiva di tipo supply-chain ha abusato del software Bash Uploader della società Codecov. Gli avversari ne hanno modificato il codice per sottrarre credenziali, token e chiavi che i clienti passavano attraverso il loro CI runner e che erano accessibili quando Bash Uploader veniva eseguito; qualsiasi servizio, datastore e applicazione a cui si poteva accedere con queste credenziali, token o chiavi potrebbe essere stato compromesso; risultano esposti tutti i dati inseriti a partire dal 31 gennaio 2021. Sono state inoltre esfiltrate le informazioni git remote dei repository che utilizzano Bash Uploader.
Nel caso dell’applicazione APKPure (versione 3.17.18), gli avversari hanno iniettato del codice malevolo che presenta alcune somiglianze col già noto Triada e che è in grado di esfiltrare informazioni, fare registrazioni a servizi a pagamento e scaricare ulteriori malware.
Sulla piattaforma nmp, infine, è stato caricato un pacchetto malevolo chiamato “web-browserify” (il cui nome imita quello del popolare e legittimo “browserify”) che, una volta installato, si rivela un malware con capacità avanzate che colpisce sistemi unix-like come GNU/Linux (SUSE, RedHat, Ubuntu, Debian, ecc) e MacOS.

In campo APT segnaliamo un episodio in Medio Oriente e uno di matrice nordcoreana e, inoltre, l’ennesima sanzione statunitense all’indirizzo della Russia.
La rete elettrica dell’impianto nucleare di Natanz, dove l’Iran arricchisce l’uranio a gradazione per armi nucleari, avrebbe subito un sabotaggio da parte di Israele; l’infrastruttura è la stessa colpita nel 2010 da Stuxnet. L’attacco si è verificato poche ore dopo l’inaugurazione delle nuove centrifughe ed ora Teheran minaccia ritorsioni; nel frattempo sarebbe già stato identificato un individuo ritenuto responsabile dell’operazione.
Lazarus Group è ritenuto responsabile della campagna “BTC Changer“, finalizzata al furto di cryptomoneta e parte di una più vasta campagna, basata sull’utilizzo di sniffer JavaScript, avviata a maggio 2019; le vittime sono localizzate in Europa e Stati Uniti.
NSA, CISA e FBI accusano pubblicamente il russo APT 29 di condurre attacchi sistematici contro realtà strategiche e governative degli USA, attive nel settore della sicurezza nazionale, e degli alleati. Specifici riferimenti sono stati fatti alla vicenda SolarWinds, all’uso del malware WellMes contro laboratori di ricerca sul COVID-19 e ad attacchi condotti sfruttando 0-day di VmWare. Parallelamente, il Dipartimento del Tesoro ha stabilito il divieto di negoziazione del debito sovrano russo e comminato sanzioni ad aziende tecnologiche come ERA Technolopolis, Pasit, Federal State Autonomous Scientific Establishment Scientific Research Institute Specialized Security Computing Devices and Automation (SVA), Neobit, Advanced System Technology (AST) e Pozitiv Teknolodzhiz (Positive Technologies).

Tra le diverse operazioni condotte nel campo delle cryptovalute, segnaliamo la distribuzione – tramite tool e software piratati – del malware Ncat che ha preso di mira wallet di Monero in America, India, Medio Oriente ed Europa e della botnet Sysrv che distribuisce un cryptominer per sistemi Windows e GNU/Linux.
Ma la notizia di maggior rilievo riguarda l’exploit ProxyLogon di Microsoft Exchange che è stato utilizzato per distribuire un miner fraudolento di Monero; dalle analisi è emerso che la minaccia ha minato valuta elettronica a partire dal 9 marzo di quest’anno.

Questa è stata la settimana del Security Patch Tuesday per Microsoft: corretti nel complesso 114 bug, fra cui uno 0-day già sfruttato (CVE-2021-28310) e 4 falle che risultano di dominio pubblico. Nel conto sono comprese anche le patch per 4 nuove vulnerabilità di Exchange Server scoperte dalla NSA (National Security Agency) ma non ancora sfruttate; si tratta di 4 RCE, di cui due pre-auth, tracciate coi seguenti codici: CVE-2021-28480, CVE-2021-28481, CVE-2021-28482 e CVE-2021-28483.
Google ha dovuto metter mano a Chrome due volte nel giro di pochi giorni; fra i vari interventi, la patch per una vulnerabilità segnalata in occasione del Pwn2Own della quale un ricercatore indiano è riuscito a realizzare un exploit e rilasciare la relativa PoC.
Pubblicati numerosi advisory per i seguenti prodotti e soluzioni: Mozilla Thunderbird, Cisco, SAP, WhtasApp, Ubuntu, Zoom Chat (falla non ancora corretta), Schneider Electric, Siemens, Palo Alto Networks, Adobe, Fatek, F5 Networks, GitLab. Infine, ricercatori hanno rilevato gravi vulnerabilità in 4 stack TCP/IP che sono state ribattezzate NAME:WRECK.