Weekly Threats N. 26 2021

02 Luglio 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

– cyber attacco contro i sistemi del Comune di Cagliari e campagne malevole contro utenze del nostro Paese
– 0-day di Microsoft sfruttato in the wild e PoC pubblica per un bug di Cisco già sfruttato
– sono emersi nuovi ransomware
– consistente leak di dati provenienti da LinkedIn
– data breach di dubbia natura alla spagnola Everis
– l’Europol sequestra DoubleVPN
– arrestato in Colombia un appartenente al gruppo originario di Ursnif

Il Comune di Cagliari ha confermato di essere vittima di un attacco informatico e ha invitato i dipendenti tramite Whatsapp a non accendere i computer e tenere scollegato il cavo di rete. L’incidente, attribuito da fonti giornalistiche ad un ransomware, ha richiesto una manutenzione straordinaria sul Sistema Informativo dell’Ente che ha comportato una riduzione dell’operatività dei servizi a sportello; gli utenti sono stati informati da un comunicato pubblicato sul portale ufficiale.

In Italia continuano ad essere tracciate campagne malevole basate su Cerberus, FormBook, Ursnif e anche su un RAT commerciale chiamato Atera RMM (in quest’ultimo caso i target sono stati indirizzi PEC della Pubblica Amministrazione). Emerge anche un caso di frode: sono state diffuse email di phishing che pubblicizzano un servizio per il trading di bitcoin chiamato “The bitcoin code”. Gli utenti che si sono iscritti al servizio automatico firmato da un fantomatico Stefano Savarese, invece di ottenere i profitti da capogiro promessi, hanno visto i propri fondi dirottati verso conti offshore controllati dagli avversari.

Il mondo ransomware si arricchisce di due nuovi malware. Il primo si chiama Diavol, presenta numerose consonanze con Egregor, viene diffuso da una organizzazione criminale insieme a Conti di FIN6. L’altro, che attende ancora un nome, sembra coniugare elementi di HelloKitty e FiveHands. È scritto in C++, utilizza un packer in Go e contiene nel codice un’implementazione di Salsa20.

Mentre REvil ha iniziato a prendere di mira sistemi Linux, il Babuk Locker Team ha compiuto alcune giravolte strategiche. Questo gruppo, infatti, dopo aver annunciato di volere abbandonare la cifratura dei file per limitarsi alla semplice minaccia di leak dei dati esfiltrati alle vittime, ha ripreso le consuete attività con una nuova versione di Babuk; nel frattempo, un builder della versione 1 di questo cryptor è stato reso pubblico e sono giù state tracciate campagne in the wild di caratura decisamente più modesta rispetto alle originali.

Il panorama state-sponsored è stato segnato da due campagne di matrice russa e una presumibilmente cinese. Sono stati pubblicati per la prima volta dettagli sul team sinofono IndigoZebra, che opera almeno dal 2014 contro target in Afghanistan, Kyrgyzstan e Uzbekistan. Sofacy (APT28) è al centro di un report realizzato da CISA, NSA, FBI ed NCSC: secondo le agenzie governative statunitensi e britannica, il gruppo è riconducibile ad una Unità speciale del General Staff Main Intelligence Directorate (GRU) russo. Dalla metà del 2019, questo reparto avrebbe lanciato una serie di attacchi contro organizzazioni pubbliche e private, soprattutto in USA ed Europa. Gli avversari hanno messo in campo TTP molto sofisticate, anonimizzando le proprie attività grazie a un cluster Kubernetes e sfruttando exploit per vulnerabilità come CVE 2020-0688 e CVE 2020-17144. APT29, invece, ha lanciato numerosi attacchi, perlopiù falliti. Ma fra di essi spicca la compromissione andata a segno di una macchina appartenente ad un agente di assistenza clienti di Microsoft. In questo caso, gli avversari sono riusciti ad accedere ai dati di un piccolo numero di clienti della società.

Questa non è l’unica grana che il colosso di Redmond sta affrontando in questo periodo. Alla vulnerabilità CVE-2021-1675 del servizio di Windows Print Spooler (spoolsv.exe) – sfruttata in the wild e inavvertitamente esposta su Twitter da una società di sicurezza – si aggiunge ora uno 0-day che impatta lo stesso spooler di stampa. Il nuovo bug, tracciato con CVE-2021-3452, risulta già sfruttato e non dispone ancora di patch. Agli utenti viene raccomandato di scaricare intanto gli update per la prima vulnerabilità e di disattivare completamente Windows Print Spooler anche sulle macchine non controller.

Infine, ricercatori hanno tracciato un driver malevolo chiamato “Netfilter” che è riuscito a superare i controlli del Windows Hardware Compatibility Program ed è stato quindi firmato da Microsoft. La compagnia, prontamente informata, ha avviato proprie investigazioni che sono ancora in corso e ha provveduto a bloccare il driver e sospendere l’account dal quale è stato caricato. Al momento non risulterebbe un’esposizione del certificato WHCP e non vi sono evidenze di compromissione dell’infrastruttura. Netfilter, che ha procurato un discreto allarme, è stato usato da un avversario non sofisticato per operare nel settore del gaming e fare redirection del traffico verso un IP localizzato in Cina.

Rimaniamo sul versante vulnerabilità con un altro caso. CVE-2020-3580 – che impatta Cisco Adaptive Security Appliance (ASA) – sembrava risolta con le patch del 21 ottobre 2020, ma si è rivelata sfruttabile, oltre che per attacchi XSS, anche per compromissioni di tipo CSRF; la relativa PoC è stata ora pubblicata in un Tweet e si registrano casi di exploitation in the wild.

Chiudiamo con le notizie di due breach e due operazioni di Polizia in campo cyber.

Il 22 giugno sono stati messi in vendita su un forum online i dati di circa 700 milioni di utenti LinkedIn; come prova sono stati pubblicati email, nomi completi, numeri di telefono, indirizzi fisici, dettagli personali di 1 milione di utenti e sembra confermata l’autenticità delle informazioni.

Everis, azienda spagnola facente parte del gruppo NTT Data, ha subito a maggio 2021 una compromissione che ha portato all’esfiltrazione e all’eliminazione di dati e codici sorgente dai propri sistemi. La piattaforma, parte del programma di modernizzazione Polaris, verrà installata su datacenter di livello NATO SECRET e gestirà dati segreti e funzioni critiche. L’avversario dietro il breach sostiene di avere motivazioni politiche, di agire per motivi etici e di avere interessi principalmente in America Latina. Altre evidenze mostrano tuttavia come vi sia stato un tentativo di estorsione alla realtà spagnola (14.500 XMR pari ad oltre 2 milioni e mezzo di euro) seguito dalla ricerca di potenziali acquirenti.

Il 29 giugno scorso il servizio DoubleVPN, pubblicizzato nei forum underground anglofoni e russofoni come efficace strumento di anonimizzazione per campagne ransomware e di phishing, è stato disabilitato a seguito di un’operazione internazionale di Polizia condotta dalla Dutch National Police in collaborazione anche con Europol ed Eurojust, nell’ambito di EMPACT (European Multidisciplinary Platform Against Criminal Threats).

Le Autorità colombiane hanno tratto in arresto il cittadino rumeno Mihai Ionut Paunescu: l’uomo, già fermato in Romania nel 2013 e mai estradato negli USA, è accusato di essere stato parte del gruppo che ha ideato il trojan bancario Ursnif. Paunescu, entrato nel team nel 2010, coinciso con il rilascio della versione 2.0 della minaccia, usava il nickname “Virus” per operare sulla piattaforma PowerHost[.]ro, che ha fornito hosting protetto anche a numerose campagne basate su malware come Zeus e SpyEye.

[post_tags]

APT29 Atera RMM Babuk Locker Team Cerberus Conti CVE 2020-17144 CVE-2020-0688 CVE-2020-3580 CVE-2021-1675 CVE-2021-3452 Diavol DoubleVPN Egregor FIN6 FIVEHANDS FormBook HelloKitty IndigoZebra Netfilter REvil team Sofacy SpyEye Ursnif Zeus

Contenuti correlati

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Malware inediti utilizzati contro entità ucraine, attività state-sponsored in Asia, le ultime sulle vulnerabilità Ivanti

DDoS e ransomware colpiscono l’Italia, smantellata una botnet del russo Sofacy, notificate vulnerabilità sfruttate ITW