WEEKLY THREATS

Weekly Threats N. 19 2021

14 Maggio 2021

Problemi di privacy su due portali governativi italiani e campagne malevole di dimensioni globali e locali; una campagna nordcoreana e nuove informazioni su cittadini cinesi implicati in campagne APT; data leak consistente per Glovo; vittime eccellenti di ransomware soprattutto negli USA; scoperta una nuova tecnica di attacco contro reti wi-fi; rilasciati bollettini di sicurezza schedulati e straordinari che correggono anche uno 0-day. Questo il contenuto della nostra rassegna settimanale.

I siti dei Ministeri della Giustizia e dei Trasporti italiani questa settimana hanno dovuto affrontare disservizi che hanno esposto dati sensibili. Nel primo caso si è trattato delle informazioni identificative dei candidati all’esame per avvocato; le circa 10.000 persone iscritte potevano potenzialmente accedere alle informazioni di tutte le altre a causa di un malfunzionamento rilevato sia negli account che sulla pagina riservata al caricamento delle domande. Il portale trasparenza del Ministero dei Trasporti consentiva invece l’accesso ad immagini fronte retro delle carte di identità presenti sul sito (molte associate a curriculum vitae) insieme ad altri documenti; è stato rilevato che, a tale fine, bastava fare una ricerca mirata su Google utilizzando le dork (parametri per affinare la ricerca).
Utenze email del nostro Paese sono state raggiunte da diverse campagne malware: sLoad sul tema della fatturazione, FormBook con allegati GZ, Ursnif che ha abusato del brand BRT, QakBot veicolato da una email reale compromessa. Inoltre sono state tracciate due operazioni di phishing contro utenze webmail che fingevano il blocco dell’inbox target e inducevano le vittime ad accedere ad un portale malevolo.

Vittime italiane anche per due campagne globali. Il trojan bancario per sistemi Android TeaBot si è spacciato per popolari applicazioni; l’APK scaricato opera come un “Android Service” e agisce da dropper di un file DEX malevolo. A rischio credenziali bancarie, codici di autenticazione, contatti; ma TeaBot può agire da keylogger e consentire agli avversari il controllo del dispositivo da remoto.
Lemon Duck, una botnet finalizzata alla distribuzione di cryptominer, riprende le attività incorporando anche gli exploit per le vulnerabilità di Microsoft Exchange Server CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065. La sofisticata catena di infezione si basa anche su Cobalt Strike e sulla webshell China Chopper.

Sul versante degli avversari state-sponsored, si segnala una campagna di spear phishing del gruppo nordcoreano ScarCruft che, distribuendo un documento PDF che sembra realizzato dal Ministero degli Affari Esteri di Seul, ha colpito esponenti del settore della diplomazia, della sicurezza e della difesa. Inoltre, Intrusion Truth ha continuato a rilasciare dettagli sulle attività dei cittadini cinesi accusati di condurre operazioni APT contro entità governative statunitensi rivelando l’identità di MSS Officer 1 (associabile ad APT3). Si tratterebbe di Mr Zhao Jianfei impiegato presso il Guangdong State Security Department (GSSD).

Su un forum underground è stato messo in vendita un archivio di 160 GB contenente dati sensibili di clienti e rider di Glovo. Confermato il breach dalla startup europea attiva nel settore del delivery; la cifra richiesta per il materiale sottratto è di 80.000 dollari.

Negli USA si registrano, fra le tante segnalate quotidianamente, due compromissioni eccellenti dovute a ransomware. Colpito il Metropolitan Police Department dal Babuk Locker Team; gli avversari hanno rivendicato il colpo e minacciato il leak totale dei 250Gb di file sottratti se non sarà raggiunto un accordo soddisfacente sul pagamento del riscatto.
Il cryptor DarkSide ha messo ko l’oleodotto della Colonial Pipeline, che distribuisce il 45% del carburante raffinato di tutta la East Coast americana, dal New Jersey al Texas. Gli avversari che distribuiscono questa minaccia sembrano sembrano essere almeno 5, incluso il famigerato Anunak di matrice russa.

Questa settimana sono stati rilasciati i dettagli del Security Patch Tuesday per prodotti Microsoft e le Note del Patch Day per le soluzioni SAP. Ad essi si aggiungono numerosi bollettini di Adobe: in questo caso va prestata particolare attenzione al bug CVE-2021-28550 di Reader, già sfruttato in the wild contro utenti Windows.
Esposte a sfruttamento anche le numerose vulnerabilità riscontrate in alcuni protocolli e standard utilizzati nelle reti WiFi, compresa l’ultima specifica WPA3. FragAttacks (fragmentation and aggregation attacks) – questo il nome attribuito nel complesso ai 13 bug – possono essere sfruttati da un avversario che si trova nel raggio radio di una vittima per rubare informazioni o associare altri dispositivi a quello target.
Aggiornamenti di sicurezza anche per WordPress, Citrix, Foxit Reader, Advantech, vari plugin di Jenkins, numerosi prodotti Siemens.

[post_tags]