Weekly Threats N. 21 2021

31 Maggio 2021

La settimana scorsa, durante le attività di monitoraggio quotidiane del CIOC, abbiamo notato questi eventi:

• due nuove ondate di phishing bancario in Italia;
• due diversi 0-day di Apple sfruttati dal russo APT29 e da un malware;
• scoperto Agrius, un gruppo state-sponsored di probabile matrice iraniana che distribuisce wiper;
• esfiltrate informazioni da siti di alcuni Ministeri in Giappone;
• il collettivo Anonymous torna con OpMyanmar e OpColombia e prende di mira anche l’app Citizen;
• la compagnia Bose conferma di essere stata vittima di un attacco ransomware di cui non ha pagato il riscatto.

Sul versante italiano abbiamo registrato in particolare una campagna malware basata su QakBot e una di phishing a tema bancario. Nel mirino degli avversari sono finiti utenti di ING, Poste Italiane, UniCredit, Intesa Sanpaolo, Banco BPM e BNP Paribas (BNL).

Il panorama APT si arricchisce di un nuovo avversario: gli analisti hanno scoperto Agrius, un gruppo di possibile matrice iraniana che ha distribuito due wiper chiamati DEADWOOD e Apostle.
APT29, di matrice russa, ha lanciato negli USA una campagna di spear phishing a tema “USAID – U.S. Agency for International Development” sfruttando uno 0-day di iOS (CVE-2021-1879).
Un altro 0-day di Apple, CVE-2021-30713, corretto negli ultimi giorni insieme a numerose altre falle, è stato sfruttato dal malware XCSSET.
L’FBI segnala attacchi strutturati che sfruttano le vulnerabilità di FortiOS CVE-2018-13379, CVE-2020-12812, CVE-2019-5591; fra i target anche un’agenzia governativa municipale USA.

La vicenda Pulse Secure non sembra ancora conclusa: emergono nuovi dettagli e nuovi tool relativi alle compromissioni associate ai team supportati da Pechino APT5 e Mirage. Sempre di matrice governativa cinese è una campagna di spionaggio che ha colpito la minoranza etnica degli uiguri: i target hanno ricevuto email di spear phishing a tema ONU e UNHCR. Oltre alle già colpite comunità presenti in territorio nazionale e in Pakistan, si ipotizza che verranno prese di mira anche quelle in Malesia e Turchia.

È stato trovato il responsabile della campagna CryptoCore che, lanciata contro exchange di cripto valuta, ha fruttato oltre 200 milioni di dollari in 3 anni: dopo una incerta attribuzione ad avversari dell’Europa dell’Est, gli analisti sono giunti ad attribuirla al team nordcoreano Lazarus.

Torniamo a parlare del movimento hacktivista Anonymous con due operazioni internazionali e un leak di particolare interesse. Nell’ambito dell’operazione OpMyanmar sono stati forniti strumenti di anonimizzazione delle comunicazioni internet ai manifestanti dell’omonimo paese; mentre OpColombia si è concretizzata con un attacco al portale del Senato che ha consentito l’esfiltrazione di informazioni sensibili governative e militari. Si professa collegato al movimento anche il soggetto che è riuscito a raccogliere e rilasciare pubblicamente un ingente database di informazioni (relative a 1,7 milioni di “incidenti”) provenienti dall’applicazione Citizen, utilizzata dagli utenti statunitensi per segnalare e ricevere notizie su eventi criminali in corso nelle vicinanze.

Il Giappone è stato teatro di diversi Data breach che hanno riguardato il Ministero degli Affari Esteri, il Ministero dei Trasporti, Infrastrutture e Turismo, la Segreteria di Gabinetto e l’aeroporto di Narita. Ciò è stato causato dalla compromissione del sistema ProjectWEB di Fujitsu ha consentito la sottrazione di dati relativi ad almeno 76.000 account governativi. L’avversario ha avuto anche accesso al sistema di Project Management e File Sharing utilizzato dagli enti statali nipponici.
Cade vittima di un altro breach anche l’operatore del settore aeronautico SITA: sono state rubate le informazioni presenti sui server della filiale USA. Fra le compagnie coinvolte abbiamo Malaysia Airlines, Singapore Airlines, Jeju Air, Air New Zealand, Polish Airlines, Finnair, Scandinavian Airlines, Cathay Pacific, Lufthansa ed Air India.

I ransomware non conoscono tregua: la compagnia Bose ha dichiarato di essere stata raggiunta da un cryptor e di essere comunque riuscita a ripristinare dati e servizi senza pagare il riscatto.

Gli operatori di Conti, invece, hanno rilasciato gratuitamente la chiave per decifrare i dati del Sistema sanitario irlandese anche se minacciano il rilascio pubblico delle informazioni in caso di mancato pagamento.

Per quanto riguarda i bollettini di sicurezza segnaliamo il rilascio di Chrome 91 che corregge un totale di 31 bug, la correzione di problema critico in VMware vCenter Server CVE-2021-21985 e la risoluzione di diverse falle in CodeReady Linux Builder per RedHat. Quanto a Nagios, sono stati rilasciati i dettagli per lo sfruttamento in catena di 13 bug già corretti. Infine, è pubblica la PoC dell’exploit per CVE-2021-23017 di Nginx.

[post_tags]

Agrius Anonymous Apostle APT29 APT5 Conti CryptoCore CVE-2018-13379 CVE-2019-5591 CVE-2020-12812 CVE-2021-1879 CVE-2021-21985 CVE-2021-23017 CVE-2021-30713 DEADWOOD FIN6 Lazarus Mirage OpColombia OpMyanmar Qakbot XCSSET

Contenuti correlati

Ultimi aggiornamenti sui conflitti Russia-Ucraina e Israele-Hamas, risolta in Chrome una 0-day sfruttata ITW

L’Italia nel mirino di nuove offensive, tracciate attività state-sponsored in Asia, CVE sfruttate da avversari ransomware

Weekly threats N.35