Weekly Threats N. 18 2021

Numerose campagne malevole continuano a interessare il nostro Paese; dal versante APT spiccano molteplici fatti imputabili alla Cina; un attacco DDoS mette in difficoltà i sistemi governativi del Belgio; qualche novità in ambito cybercrime internazionale; segnalazioni importanti per la sezione vulnerabilità. Questi i contenuti del nostro report settimanale.

Una falla nel sito del Ministero del Lavoro italiano ha esposto per circa un anno il contenuto di un foglio di calcolo in cui si elencano nome, cognome, codice fiscale, data di nascita e voce di tariffa INAIL di tutti i dipendenti in smartworking; il problema è stato sanato lo scorso aprile e al momento non sono noti casi di sfruttamento dei dati.
Continuano le campagne di distribuzione per FormBook (con allegati .gz a tema fatturazione) e Flubot (mediante SMS di phishing); lo smishing è il vettore anche di una campagna che mira alle credenziali di utenti BancoPosta. Email hanno invece finto comunicazioni su fantomatiche giacenze da parte del corriere Bartolini indirizzando i destinatari a pagine di phishing.
L’Italia e la Città del Vaticano sono fra le vittime anche di “Winter Vivern” un’operazione di spionaggio che ha distribuito documenti con macro malevole anche a target di Azerbaijan, Cipro, India, Lituania, Ucraina.

Il 4 maggio oltre 200 organizzazioni del Belgio – fra cui Belnet, il provider ISP controllato da Bruxelles – sono state colpite da un vasto attacco DDoS. Fra le vittime si contano università, istituti di formazione, centri di ricerca e portali governativi; ne ha fatto le spese anche il servizio per la prenotazione del vaccino anti-COVID19. Nelle ore dell’attacco in Parlamento si stava tenendo l’audizione online di una cittadina cinese appartenente alla minoranza uigura scampata ai lavori forzati; per tale ragione, e considerata la raffinatezza delle tecniche adottate dagli attaccanti, un ricercatore ha ipotizzato la mano di avversari sponsorizzati da Pechino.
Gli uiguri sarebbero poi le vittime di una campagna di qualche anno fa i cui contorni sono stati delineati pienamente solo di recente e le cui dinamiche getterebbero ombre sull’operato della firma di sicurezza Qihoo 360; gli avversari hanno utilizzato uno 0-day degli iPhone, che è stato reso noto solo dopo l’attacco, durante la Tianfu Cup del 2019, da un ricercatore porprio della cinese Qihoo 360; il quadro ricostruito da Google, Apple e intelligence americana fa sospettare connivenze fra l’importante firma di sicurezza e gli APT.
Alla Cina si attribuisce un’altra campagna, stavolta contro il settore della Difesa russo; documenti di spear phishing che spoofavano il centro di progettazione di sottomarini Rubin Design Bureau, con sede a San Pietroburgo, hanno veicolato la nuova backdoor PortDoor.
Rimaniamo ancora nella Terra del Dragone con i dettagli rilasciati da Intrusion Truth su individui coinvolti in attività APT. Gli analisti hanno ricostruito una rete di front-company gestita da Li Xiaoyu (李啸宇) e Dong Jiazhi (董家志) – già messi sotto accusa dal DoJ statunitense – e verosimilmente finalizzata a coprire operazioni di cyberspionaggio governativo.
L’eco di avversari cinesi ricorre anche nel caso di Operation TunnelSnake, una sofisticata campagna basata sul rootkit Moriya che ha coinvolto agenzie diplomatiche locali in Asia e Africa.
L’Iran fa parlare di sé in merito ad attacchi ransomware mirati; documenti resi pubblici dal gruppo dissidente Lab Dookhtegan rivelano “Project Signal”, varato fra luglio e gli inizi di settembre 2020 e condotto in collaborazione dal contractor Emen Net Pasargard (ENP), strettamente legato al Corpo delle Guardie Rivoluzionarie Islamiche dell’Iran (IRGC), dalla Quds Force dell’IRGC (IRGC-QF) e dal Ministero dell’Intelligence e della Sicurezza dell’Iran (MOIS). Si ipotizza che rientrino in questo contesto anche le offensive contro compagnie israeliane condotte dall’avversario Pay2Key, colegato al gruppo state-sponsored PIONEER KITTEN.

Sembrerebbe invece financially motivated il sofistcato gruppo UNC2529 che lo scorso dicembre ha usato una vera e propria trimurti di minacce (DOUBLEDRAG, DOUBLEDROP e DOUBLEBACK) contro numerose organizzazioni distribuite un po’ su tutto il globo.

TsuNAME è una vulnerabilità del DNS che apre ad attacchi DDoS massivi; i ricercatori di Olanda, Nuova Zelanda e Stati Uniti che l’hanno scoperta spiegano che possono essere usati resolver ricorsivi per sommergere di richieste DNS i server autoritativi. Sono a rischio numerosi servizi nazionali basati su infrastrutture come grandi TLD o ccTLD. Hanno già corretto il problema Google Public DNS e Cisco OpenDNS.
Si raccomanda di aggiornare Exim mail transfer agent (MTA), che è impattato da gravi vulnerabilità individuate con il nome 21Nails.
Google ha rilasciato gli aggiornamenti mensili per Andoird e Pixel; pubblicati anche bollettini per Samba, BIND 9, Apache Nuttx OS e per prodotti e soluzioni Dell, Texas Instruments, F5 Networks, Mozilla, VMware, HPE, Fortinet, Cisco.