Weekly Threats N. 22 2021

07 Giugno 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence:

campagne phishing e malware in Italia;
i nuovi ransomware Grief e Prometheus;
DDoS al settore bancario in Germania;
breach al database nazionale svedese SmiNet;
attacco di matrice cinese ai sistemi della metropolitana di New York;
campagne APT di matrice russa e nordcoreana;
Interpol smantella rete cybercrime in Asia Pacifica;
pubblici i dettagli di una falla di Apple;
sfruttato 0-day di un plugin di WordPress;
rilasciati aggiornamenti e nuova versione di Firefox.

In Italia continua il monitoraggio delle campagne malevole: questa settimana un’operazione globale ha raggiunto anche utenze email italiane con il RAT NanoCore mentre un falso rimborso dell’Agenzia delle Entrate ha mirato alla sottrazione di informazioni sensibili e finanziarie.

Nel panorama APT hanno dominato campagne cinesi, nordcoreane e russe.

I gruppi sponsorizzati da Mosca dimostrano un particolare dinamismo nelle TTP: Sofacy ha sfruttato una nuova backdoor chiamata internamente SkinnyBoy per colpire entità militari e istituzioni governative. APT29 ha invece colpito in Ucraina con una strategia che gli analisti hanno chiamato NobleBaron e che ha comportato la compromissione dell’installer di applicazioni di sicurezza adottate dal Governo di Kiev. Di fatto gli avversari sono riusciti a spacciare il downloader NativeZone per la chiave crittografica dell’Ukrainian Institute of Technology.

I nordcoreani, invece, mantengono invariate le strategie di spear phishing. Lazarus ha sfruttato false offerte di lavoro di Rheinmetall e Daewoo Shipbuilding per colpire target del settore della Difesa sudcoreana. ScarCruft ha mirato contro Russia e Corea del Sud; in quest’ultima in particolare ha distribuito false applicazioni per sistemi Android il cui nome, KISA, richiama il Korean Internet and Security Agency.

Mustang Panda, gruppo controllato dalla Cina, è stato tracciato più volte: sia in relazione alla distribuzione di una variante di PlugX, sia per un attacco al sito dell’Ufficio del Presidente del Myanmar finalizzato al watering hole. Sulla homepage del portale governativo è stato sostituito un pacchetto di font disponibile per il download con una versione malevola contenente Cobalt Strike.

Un’altra operazione potrebbe essere attribuire ad avversari cinesi: il 20 aprile è stata scoperta una violazione di parte dei sistemi della Metropolitan Transportation Authority (MTA) di New York City avvenuta grazie allo sfruttamento dello 0-day di Pulse Secure, CVE-2021-22893.

Nel frattempo, è emersa SharpPanda, una longeva campagna di spionaggio, sempre di matrice cinese, condotta almeno dal 2017 contro un target governativo del Sudest asiatico.

Non ha ancora un’attribuzione, invece, l’operazione contro il database nazionale svedese SmiNet, che riporta anche le statistiche riguardanti le infezioni da COVID19.

Ci spostiamo sul versante crime con un attaco DDoS lanciato il 3 giugno contro la tedesca Fiducia & GAD IT AG, azienda che fornisce servizi informatici alle banche cooperative BVR (Volksbank e Raiffeisenbank).

Abbiamo anche novità di un certo interesse dal mondo ransomware: sono stati recentemente scoperti Grief, che ha mietuto anche una vittima italiana, il Comune di Porto Sant’Elpidio, e Prometheus. Gli operatori di quest’ultimo, proclamatosi parte del REvil Team, hanno anche messo in vendita informazioni che sarebbero state sottratte al Governo del Messico.

L’Interpol sta coordinando Operation HAECHI-I che vede partecipi oltre 40 reparti specializzati di Polizia di Paesi dell’Asia Pacifica: oggetto delle investigazioni sono 5 diversi tipi di frode online. Fra settembre 2020 e marzo 2021 sono state avviate 1.400 indagini, 892 delle quali sono già concluse: arrestati più di 500 sospettati, congelati oltre 1.600 conti bancari in mezzo mondo e confiscati beni per un totale di 83 milioni di euro.

Chiudiamo con la segnalazione di vulnerabilità e aggiornamenti di rilievo.

Risulta sfruttata anche in attacchi mirati una vulnerabilità 0-day del plugin Fancy Product Designer di WordPress; tracciata con codice CVE-2021-24370 (CVSS 9.8), è stata risolta nella versione 4.6.9.

Negli aggiornamenti macOS Big Sur 11.4, iOS 14.6 e iPadOS 14.6Apple ha recentemente risolto i problemi derivanti dalla falla CVE-2021-30724 di sono stati resi pubblici dettagli e PoC dell’exploit che consente privilege escalation.

Risolte gravi falle anche in RTL8170C di Realtek che consentono di prendere il controllo completo sul modulo Wi-Fi e potenzialmente ottenere accesso root al sistema operativo del dispositivo embedded. Si tratta di due stack-based buffer overflow individuate con i codici CVE-2020-27301, CVE-2020-27302 (CVSS 8.0).

Infine, rilasciati aggiornamenti per Firefox, prodotti Fortinet e Cisco.

[post_tags]

APT29 Cobalt Strike CVE-2020-27301 CVE-2020-27302 CVE-2021-22893 CVE-2021-24370 CVE-2021-30724 Grief Team Lazarus Mustang Panda NanoCore NativeZone NobleBaron Operation HAECHI-I PlugX Prometheus Team REvil team ScarCruft SharpPanda SkinnyBoy Sofacy

Contenuti correlati

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Malware inediti utilizzati contro entità ucraine, attività state-sponsored in Asia, le ultime sulle vulnerabilità Ivanti