Weekly Threats N. 28 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:
– cyberattacco confermato da Eataly
– campagne malevole in Italia
– descritto lo spyware DevilsTongue della compagnia Israeliana Candiru
– rilevati diversi attacchi basati su 0-day
– descritte numerose operazioni APT
– aggiornamenti dal mondo ransomware
– arrestati in Spagna e Marocco alcuni cybercriminali

Questa settimana l’azienda italiana Eataly ha confermato di aver subito un attacco di cui non si conosce la portata, ma ha specificato che i punti vendita sono rimasti aperti.
Quanto alle campagne malware nel nostro Paese, sono state rilevate email di phishing che, sfruttando temi come ordini di acquisto e richieste di preventivo e brand come infoCert e Enel Energia, distribuivano Agent Tesla, Atera Agent, LokiBot, Formbook, Ursnif, FickerStealer e Hancitor.

Sono numerose le notizie riguardanti vulnerabilità 0-day oggetto di sfruttamento.
Gli exploit per due delle tre vulnerabilità segnalate nel bollettino di luglio di Microsoft come già sfruttate (CVE-2021-31979, CVE-2021-33771), risultano nelle disponibilità di una compagnia di sicurezza israeliana chiamata comunemente Candiru. La società commercializza esclusivamente a entità governative soluzioni per lo spionaggio basate sullo spyware DevilsTongue. Le evidenze tecniche tracciate da più ricercatori hanno mostrato connessioni anche con i casi di sfruttamento delle 0-day CVE-2021-21166 e CVE-2021-30551 di Google Chrome, associate a CVE-2021-33742. Fra i target censiti di DevilsTongue (oltre 100) vi sono persone attive nei campi dei diritti umani, giornalisti, dissidenti, attivisti, politici localizzati in Palestina, Israele, Iran, Libano, Yemen, Spagna, Regno Unito, Turchia, Armenia, Singapore.
APT 29, avversario state-sponsored russo, ha utilizzato l’exploit di CVE-2021-1879 di iOS per attaccare funzionari governativi nell’est Europa attraverso messaggi su LinkedIN. Sono invece armeni i target di altre due operazioni basate rispettivamente su CVE-2021-21166 e CVE-2021-30551 di Chrome e CVE-2021-33742; gli analisti ipotizzano che questi tool siano stati sviluppati e venduti da uno stesso provider che fornisce strumenti di sorveglianza a clienti di tutto il mondo.
Dopo il rilascio da parte di SolarWinds di una b della vulnerabilità 0-day CVE-2021-35211 presente in Serv-U, si è scoperto che un avversario cinese denominato DEV-0322 aveva utilizzato proprio quel bug per colpire contractor della difesa USA e una società di software.
Nessun dettaglio invece sulle 0-day sfruttate e corrette da Google in Chrome desktop (CVE-2021-30563) e da ForgeRock nel suo programma Access Management (CVE-2021-35464).

Il panorama APT risulta particolarmente ricco. Un’azienda di sicurezza ha tracciato una campagna riconducibile alla galassia cinese Axiom (Winniti Group o APT41) che sembra aver preso di mira il settore accedemico, governativo e delle telecomunicazioni oltre a istituti di ricerca e sviluppo in Nepal, Filippine, Taiwan e Hong Kong. L’avversario ha sfruttato server GlassFish compromessi e sono state dispiegate sia backdoor custom che le backdoor Shadowpad e Spyder. Sempe un appartenente ad Axiom è stato visto portare avanti una campagna watering hole che colpisce utenti di siti di gioco d’azzardo in Cina per distribuire BIOPASS RAT.
Si è rilevata anche una campagna – denominata dagli analisti LuminousMoth e attiva almeno da ottobre 2020 – presumibilmente riconducibile al cinese Mustang Panda che ha colpito entità governative in Myanmar e nelle Filippine. Come vettore di infezione iniziale sono stati rilevati messaggi di spear phishing con link malevoli; in seguito è stato impiegato un eseguibile Microsoft Silverlight con lo scopo di diffondersi su dispositivi rimovibili (USB).
Ancora entità governative nel sud e sud-est asiatico sono state target di una campagna mirata a raccogliere informazioni relative all’ASEAN e basata sulle minacce RDoorBackdoor, RDoorDropper e RDoorLoader.
Infine, il nordcoreano ScarCruft ha condotto un attacco watering hole nel dicembre 2020 che, sfruttando una vulnerabilità di Internet Explorer, ha infettato i visitatori di un sito di scommesse con Matryoshka, una versione avanzata di RokRat.

Sul fronte Ransomware si segnala il rilascio della tanto attesa patch per Kaseya VSA, resa necessaria dopo le compromissioni da parte di un affiliato al REvil Team. Si apprende poi che l’intera infrastruttura di questo gruppo risulta offline, sia nella componente TOR, sia in quella clearnet; non è noto se sia il risultato di un’operazione di qualche Forza dell’Ordine o se sia stata una mossa dell’avversario stesso.
Un ransomware di cui non si conosce il nome è invece responsabile di attacchi contro prodotti SonicWall che hanno raggiunto l’End of Life; lo comunica il vendor stesso in un advisory corredato di tutte le coordinate necessarie agli utenti per mettersi prontamente al sicuro.
Una ricostruzione delle attività del Pysa Team, infine, ha consentito di chiarire le dinamiche di alcuni attacchi basati su Mespinoza, distribuito grazie alle minacce Gasket e MagicSocks.

Chiudiamo con due notizie riguardanti operazioni di Polizia internazionali in campo cyber. Le Autorità spagnole hanno tratto in arresto 16 persone associate ad un gruppo cybercrime che sfruttava anche i trojan Mekotio e Grandoreiro ed era specializzato nel riciclaggio di denaro. L’Interpol ha segnalato l’arresto da parte delle Forze di Polizia del Marocco di un uomo – che si firma “Dr Hex” – ritenuto responsabile di numerose campagne cybercrime; Operation Lyrebird ha visto la stretta collaborazione del Cybercrime Directorate dell’Interpol, dell’Interpol National Central Bureau in Rabat e di una compagnia di sicurezza russa.