Weekly Threats N. 17 2021

Le notizie italiane dominano la rassegna di questa settimana; tornano a colpire compagini APT note ed emerge un nuovo gruppo cybercrime strutturato; confermato data breach da uno dei maggiori provider di soluzioni cloud; bollettini di sicurezza schedulati e straordinari correggono numerose falle tra cui anche due 0-day sfruttati.

Nel nostro Paese non conoscono pause le campagne di distribuzione malware – soprattutto ransomware – e quelle finalizzate al phishing.
Il team che distribuisce il ransomware Avaddon ha raggiunto i sistemi del Comune di Villafranca d’Asti; inoltre, sebbene avesse intenzione di colpire l’Unione di Comuni Colli del Monferrato con un attacco DDoS, in realtà ha raggiunto l’Unione dei Colli DiVini nel Cuore del Monferrato; sul proprio portale dei leak gli avversari sostengono di detenere documenti finanziari e bancari, accordi, contratti, fatture di pagamento, domande, permessi di soggiorno, carte d’identità, cartelle cliniche, documenti personali e molto altro.
Il DarkSide Team, invece, ha messo a segno una compromissione contro la Banca di Credito Cooperativo di Roma (gruppo ICCREA): ne hanno fatto le spese 188 filiali.
Il Babuk Locker Team, infine, ha rivendicato la sottrazione di 10TB di dati alla multinazionale farmaceutica italiana Zambon; durante l’attacco, che si è protratto per circa 7 mesi, sono state fatte copie dei server (sono state pubblicate anche foto dei dischi virtuali VHDX); la compagnia sostiene di aver arginato l’incidente in poco tempo e riconosce un blocco della produzione di 5 giorni.
Nel frattempo, Agent Tesla ha abusato del nome di una compagnia spagnola; Mekotio è stato veicolato da email che sembravano inviate da un fantomatico “Governo italiano”; FormBook ha sfruttato il brand DHL. Quanto al phishing, sono state tracciate email a tema Fideuram e Bartolini.
Spicca poi un caso di BEC (business email compromise), scoperto dalla Polizia postale di Gorizia, che si è concluso con l’arresto di un soggetto accusato di essere stato il “money mule” (colui che mette a disposizione il proprio conto bancario per l’accredito fraudolento di denaro) in almento due episodi criminali.
Ancora un italiano sembra essere l’autore e il gestore di alcuni malware as-a-service. ComplexCodes, questo il nickname che adotta nei forum underground, ha realizzato e distribuito di recente WeSteal (che sottrae wallet di cryptovaluta) e WeControl (una ibridazione di RAT e botnet).

Anche sul versante crime globale sono protagonisti i ransomware. Un gruppo strutturato e motivato finanziariamente – individuato con la sigla UNC2447 – ha distribuito il crypter FIVEHANDS (che sembra essere una derivazione diretta di DEATHRANSOM e un parente stretto di HelloKitty) in associazione con SombRAT e il dropper WARPRISM. Tali minacce potrebbero essere nella disponibilità di diversi team affiliati che agiscono anche autonomamente. È ricomparso AgeLocker, il ransomware che adotta Age (Actually Good Encryption), un software progettato per sostituire GPG e basato sugli algoritmi X25519, ChaCha20-Poly1305 e HMAC-SHA256: la minaccia mira a compromettere i NAS QNAP. Un attacco supply-chain contro il gestore di password “Passwordstate“ ha consentito agli attaccanti di procurarsi tutte le credenziali salvate, oltre che informazioni come username, nome del dominio, processi in esecuzione e quello corrente con relativi ID, servizi in esecuzione, indirizzo del server proxy dell’istanza Passwordstate.
Data breach anche per il provider DigitalOcean; l’incidente è stato confermato ufficialmente. Risultano esposti dati di alcuni clienti come nome, indirizzo, ultime 4 cifre del numero di carta di pagamento, relativa data di scadenza e intestatario; restano da stabilire le dimensioni del caso.
La storia di Emotet, la cui rete è già stata smantellata a seguito di un’operazione internazionale guidata dall’Europol, ora si avvia verso la conclusione; la stessa agenzia europea ha avviato il 25 aprile il killswitch che, grazie alla libreria EmotetLoader.dll e a server C&C approntati dalla Germania, ha portato alla rimozione della minaccia da tutti i sistemi infettati.

Nel panorama delle operazioni state-sponsored, continua a colpire la campagna di matrice russa GhostWriter, volta perlopiù a manipolare l’opinione pubblica delle Repubbliche baltiche contro l’operato della NATO; nel mirino delle operazioni più recenti sono finiti militari, politici e figure del Governo della Polonia.
Fra giugno 2019 e marzo 2021 l’APT cinese NAIKON ha lanciato una campagna di spionaggio contro entità governative del sudest asiatico utilizzando, fra l’altro, le backdoor RainyDay e Nebulae.
I nordcoreani di Lazarus hanno attaccato una grande casa farmaceutica di cui non è stato rivelato il nome. L’incidente risale al settembre 2020; tecniche di social engineering che hanno coinvolto LinkedIn e Telegram sono servite per avere l’accesso iniziale; poi, in 4 giorni gli avversari hanno preso il controllo parziale dei sistemi sfruttando tool custom e disponibili pubblicamente riuscendo ad esfiltrare informazioni.

Chiudiamo con alcune segnalazioni di vulnerabilità. Gli aggiornamenti di Apple correggono nel complesso oltre 80 bug; fra di essi compaiono due 0-day già sfruttati in the wild: uno è CVE-2021-30657, che coinvolge Gatekeeper, utilizzato per la distribuzione del malware Shlayer; l’altro è CVE-2021-30661. Rilasciati update e patch anche per Jenkins, Eaton, Horner Automation, Citrix, Chrome, Cisco, F5 Networks, Fortinet, NVIDIA, PHP composer e per la falla CVE-2020-28588 del kernel Linux.

[post_tags]