Weekly Threats N. 23 2021

14 Giugno 2021

La settimana scorsa è stata caratterizzata da alcuni fatti di particolare interesse. Tra quelli segnalati quotidianamente dal CIOC di TS-WAY nel piano BASIC di TS-Intelligence.

In Sintesi

Diverse Campagne phishing e malware continuano a colpire l’Italia;
0-day di Microsoft e Chrome sfruttati in operazioni mirate e ora corretti;
È stato attribuito l’attacco supply chain che ha coinvolto SITA e Air India;
Sono stati tracciati diversi APT di matrice cinese;
I ransomware continuano a colpire in tutto il mondo;
Sono stati pubblicati bollettini di sicurezza anche per SAP, Android, Adobe e Intel
Sono stati messi in vendita i dati riguardanti la vaccinazione Covid19 di oltre 7 milioni di Italiani.

Apriamo con la notizia forse di maggior interesse della settimana: il 12 giugno 2021, sono stati messi in vendita i dati riguardanti la vaccinazione Covid19 di oltre 7 milioni di Italiani in un forum underground. Stando al post pubblicato, i dati dovrebbero riguardare un’applicazione per la gestione delle prenotazioni dei vaccini Covid19. Dalle analisi effettuate, in cui è stata determinata la veridicità dei sample esposti, si ritiene altresì possibile che il dump sia composto dai dati provenienti dalla violazione di più applicazioni online.

La settimana scorsa, le utenze mail italiane sono state raggiunte da campagne di phishing che continuano a sfruttare temi noti come la consegna di pacchi da parte del corriere BRT e problemi con gli account di Banco BPM. In un caso è stato distribuito il RAT Ave Maria con un messaggio di posta elettronica che sembra provenire da una compagnia di Dubai.

La notizia più rilevante riguarda però 6 vulnerabilità 0-day corrette nel Security Patch Tuesday di Microsoft e già sfruttate.

Due di queste (CVE-2021-31955 e CVE-2021-31956) sono parte di una catena di exploit che vede coinvolto anche uno 0-day di Chrome (CVE-2021-21224) e che è alla base di una serie di attacchi sofisticati firmati dall’avversario #PuzzleMaker. Google ha corretto il bug nella versione 90.0.4430.85 di Chrome per Desktop. Negli ultimi giorni sono stati rilasciati anche i bollettini mensili per Android e Pixel, le Note per il SAP Patch Day e advisory per prodotti e soluzioni Intel e Adobe.

Se di PuzzleMaker al momento non sono noti dettagli, sono disponibili maggiori informazioni per due nuove realtà State Sponsored chiamate #Gelsemium e #BackdoorDiplomacy. Il primo, attivo almeno dal 2014, ha colpito target selezionati appartenenti ad organizzazioni governative, religiose e dell’high-tech in Asia Pacifica, Taiwan, Medio Oriente, Egitto tramite una suite di malware che comprende #Gelsemine, #Gelsenicine, #Gelsevirine. BackdoorDiplomacy, di probabile matrice cinese, si è concentrato su entità diplomatiche e telco in Africa, Medio Oriente, Europa e Asia, tramite la backdoor Turian.

Si ipotizza ci sia un attore cinese appartenente alla galassia Axiom dietro l’attacco supply-chain avviato contro l’azienda del settore aeronautico SITA che ha portato al breach di numerosi vettori internazionali, in particolare Air India da cui, solo in questo caso, sono stati esfiltrati i dati di 4,5 milioni di persone.

Radicale cambio di attribuzione, infine, per le operazioni governative russe denunciate nel maggio scorso dall’#NKTsKI (Russian Federal Security Service’s National Coordination Center for Computer Incidents): cadono gli addebiti ai Five Eyes ed emergono prove contro Tonto Team, sponsorizzato da Pechino. L’avversario ha utilizzato il malware Mail-O, che spacciandosi per il software legittimo Mail.ru Disk-O, opera da downloader.

Ricco e vario anche il panorama ransomware.

In India è stato tracciato nei sistemi della Nucleus Software, società attiva nel settore dei servizi bancari e finanziari, il nuovo cryptor #BlackCocaine. I suoi operatori hanno attivato, come ormai prassi consolidata, un sito per le negoziazioni con le vittime.

MountLocker Team, che si firma anche Xing Team pur non avendo particolari contatti col Paese del Dragone, ha rivendicato il data breach alla compagnia LineStar Integrity Services, con base a Huston. Curiosamente, i dati rilasciati come prova della compromissione sono stati pubblicati, in forma censurata, anche sul sito DDoSecrets, gestito da un gruppo di giornalisti, che si ispira a Wikileaks.

Sono ignoti gli autori dell’attacco ransomware contro il Law Department di New York. Sebbene il Sindaco della città sostenga che si è trattato di un tentativo fallito, si è diffusa la notizia della disattivazione di alcuni sistemi per contenere la diffusione del malware. Le indagini dell’FBI sono ancora in corso.

Da maggio è tornato a colpire anche il team cybercrime Fancy Lazarus tramite l’invio di email estorsive che minacciano ondate DDoS. L’avversario seleziona come destinatari delle stesse, specifiche figure professionali all’interno di aziende appartenenti a numerosi settori sperando in una reazione emotiva indotta dal proprio nome (un improbabile mix di APT russi e nordcoreani). Il riscatto richiesto ha una base di due bitcoin.

Ancora un gioco di nomi per TA505, questa volta per depistare gli inquirenti: per aggirare le sanzioni delle Autorità USA, il gruppo ha pensato di spacciarsi per Babuk Locker Team e ha chiamato il proprio nuovo ransomware #PayloadBIN, come l’ultimo rebranding di Babuk.

[post_tags]

Ave_Maria Axiom Babuk Locker Team BackdoorDiplomacy BlackCocaine CVE-2021-21224 CVE-2021-31955 e CVE-2021-31956 DDoSecrets Fancy Lazarus Gelsemine Gelsemium Gelsenicine Gelsevirine Mail-O MountLocker Team PayloadBIN PuzzleMaker TA505 Tonto Team

Contenuti correlati

L’impatto delle campagne a fini estorsivi nei casi eclatanti di TA505 e PLAY Team

L’Italia nel mirino di nuove offensive, tracciate attività state-sponsored in Asia, CVE sfruttate da avversari ransomware

Vulnerabilità in Atlassian, Apple, Qualcomm, Exim e Arm, attività associate a APT asiatici, nuove offensive nel panorama hacktivista