Weekly Threats N. 16 2021

Questa settimana numerose campagne hanno preso di mira utenze email italiane; sono stati tracciati alcuni rilevanti casi di sfruttamento di vulnerabilità 0-day; varie notizie giungono dal versante APT; sono stati rilasciati bollettini di sicurezza importanti.

Nel nostro Paese le attività di compravendita sulla piattaforma eBay sono state l’esca per una campagna di phishing di credenziali. Mekotio, il malware che sembrava prediligere utenti bancari del Sud America, ora punta anche in Italia con un messaggio che fa riferimento a fantomatici procedimenti legali. La minaccia per Android Flubot, di matrice russa, sta mietendo vittime in molte nazioni europee, fra cui anche l’Italia; vettore, in questo caso, sono SMS che fingono comunicazioni dello spedizioniere DHL.
Il trojan bancario Ursnif continua ad essere protagonista di operazioni di phishing; sono state tracciate diverse ondate di mail sui temi Findomestic ed Enel Energia; una terza, che cavalca l’onda della vaccinazione per il COVID19, è stata esplicitamente associata all’avversario Shathak, che a livello globale sta distribuendo anche Qakbot.

Emergono i dettagli di un altro attacco in tema vaccino per il Coronavirus, ma stavolta contro target realmente impegnati nella distribuzione delle fiale; email di spear phishing che impersonano un dirigente di Haier Biomedical hanno raggiunto in 14 Paesi 44 organizzazioni operanti nella logistica, stoccaggio e distribuzione di vaccini per il COVID-19 che richiedono il mantenimento della catena del freddo. La campagna è iniziata il 7 settembre, prima ancora che venisse approvato un vaccino; ciò indica che l’avversario stava già lavorando per avere accesso a questi sistemi.

Sono due i maggiori casi di sfruttamento di vulnerabilità 0-day negli ultimi giorni. Il primo riguarda il software Email Security di SonicWall; un gruppo strutturato e con un know-how di alto livello ha utilizzato CVE-2021-20021, CVE-2021-20022 e CVE-2021-20023 in combinazione per distribuire nei sistemi di almeno una compagnia una webshell disponibile pubblicamente e chiamata BEHINDER JSP; le falle sono state nel frattempo risolte.
L’altro incidente riguarda i gateway Pulse Connect Secure (PCS); l’exploit per uno 0-day di massima gravità, tracciato con codice CVE-2021-22893, è stato utilizzato da avversari di diverso livello per la distribuzione di almeno 12 famiglie di malware; gli analisti hanno potuto associare alcune di queste operazioni, che sono state avviate più di un anno fa, ai gruppi state-sponsored cinesi Mirage e APT5.

La Cina fa parlare di sé anche in relazione ad una segnalazione eccellente da parte delle Autorità giapponesi; fonti di stampa locali riferiscono che la Polizia di Tokyo avrebbe individuato un cittadino cinese accusato di essere parte del gruppo Tick; questa compagine – nello specifico sarebbe implicata l’Unità 61419 del PLA – avrebbe lanciato offensive cyber contro 200 aziende e istituti di ricerca in Giappone, tra cui la JAXA (Japan Aerospace Exploration Agency).
Nel frattempo, Facebook ha tracciato attività relative a 2 gruppi governativi in Palestina: uno legato al Preventive Security Service (l’agenzia di intelligence nazionale palestinese) e l’altro conosciuto come AridViper; il primo ha come obiettivo giornalisti, oppositori del Governo guidato da al-Fatah, attivisti dei diritti umani e gruppi militari tra cui l’opposizione siriana e l’esercito iracheno; Arid Viper si rivolge, invece, contro membri del partito al-Fatah.

Un’altra vicenda di vulnerabilità sfruttate per la distribuzione di minacce, ma dai contorni ancora sfumati, compare sul versante crime internazionale. I NAS QNAP sono stati abusati per diffondere il ransomware Qlocker nell’ambito di una campagna di impatto elevato; l’ipotesi degli analisti è che siano state sfruttate le falle CVE-2020-36195, CVE-2021-28799 e CVE-2020-2509, ma si sospettano anche compromissioni in dispositivi che avevano già installato le patch per la CVE-2020-36195. C’è anche un risvolto ironico a carico degli attaccanti. Qlocker adotta 7zip per creare gli archivi crittografati; il 22 aprile è stato trovato un bug nel relativo sito .onion che permetteva di ottenere gratuitamente la chiave di crittografia, ma è stato prontamente patchato.

Fra i bollettini di sicurezza rilasciati di recente segnaliamo quello programmato di Oracle e quello di Google per l’aggiornamento di Chrome; la versione 90.0.4430.85 di Chrome desktop corregge diversi problemi, fra cui un bug già sfruttato in the wild (CVE-2021-21224).
Infine, sono stati pubblicati advisory per prodotti Juniper Networks, Schneider Electric, Mozilla, VMware, WordPress, Drupal, F5 Networks, Delta Electronics, Rockwell Automation, Siemens, Cisco e Hitachi ABB Power Grids.

[post_tags]