Weekly Threats N. 29 2021

23 Luglio 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

– Amnesty rivela nuovi dettagli sulle attività basate su Pegasus dell’israeliana NSO Group
– Tracciate nuove campagne malevole in Italia
– Si intensifica l’attenzione sui Giochi Olimpici di Tokyo
– Nuove realtà emergono sia nel panorama APT che nel mondo ransomware
– Nuovo bug ancora non corretto per Windows e PoC pubbliche per falle nel kernel Linux
– Nuove azioni giudiziarie contro attori della scena crime e state-sponsored

La settimana che sta per concludersi è stata segnata da un report della ONG francese Forbidden Stories realizzato con il supporto di Amnesty International che ha ricostruito un vasto panorama di attività basate sullo spyware Pegasus della società israeliana NSO Group.
L’inchiesta ha reso possibile il tracciamento di più di 700 domini e l’individuazione di 50.000 target relativi ad attacchi contro Capi di Stato, attivisti e giornalisti. Fra le vittime eccellenti compaiono il direttore del Financial Times e la famiglia di Jamal Khashoggi, quest’ultima apparentemente colpita prima e dopo l’omicidio del reporter saudita, avvenuto in Turchia nel 2018. Nel 2019 e nel 2021 sono state individuate principalmente offensive “0-click” (senza alcuna interazione da parte della vittima) che sfruttavano come entry-point falle 0-day in iMessage e FaceTime. L’infezione avveniva inviando, da Apple ID controllati dall’avversario, richieste di account lookup appositamente create. Nel 2020 è stato rilevato l’utilizzo di un exploit per Apple Music, anche se non è chiaro se sia stato sfruttato come vettore iniziale oppure per effettuare Privilege Escalation o Sandbox Escape. Più di recente, sono stati tracciati degli attacchi 0-click che impiegano 0-day di nuovi modelli di dispositivi full-patched; in particolare, uno è avvenuto contro un iPhone 12 che adottava iOS 14.6.
Gli analisti hanno poi identificato potenziali clienti di NSO Group in 11 Paesi: Azerbaigian, Bahrain, Ungheria, India, Kazakistan, Messico, Marocco, Ruanda, Arabia Saudita, Togo ed Emirati Arabi Uniti.

In Italia sono state rilevate campagne basate su Dridex (via Quickbooks), GuLoader (distribuito da allegati .gz e .lzh), Agent Tesla (con finte comunicazioni di DHL) e FormBook (sul tema della fatturazione). Si segnalano anche campagne di phishing, una delle quali ha targettizzato gli utenti di Deutsche Bank.

In campo internazionale si sono intensificate le misure precauzionali per i Giochi Olimpici di Tokyo 2020. Un alert congiunto di CISA ed FBI mette in guardia tutte le realtà coinvolte nell’organizzazione e nella gestione dell’evento sulle possibili minacce da fronteggiare. Le due Agenzie statunitensi sollecitano l’adozione delle necessarie “best practice” nei network e negli ambienti digitali e suggeriscono di proteggere i sistemi di remote working con l’impiego di servizi di Virtual Private Network (VPN). I timori sono avvalorati anche dalla memoria di incidenti come quello verificatosi durante i Giochi Olimpici invernali di PyeongChang, culminati il 9 febbraio 2018 con un’azione malevola contro la cerimonia di apertura. Ad aggravare il quadro concorrono anche due fatti di natura diversa. Da un lato c’è la violazione subita dalla compagnia giapponese Fujitsu nel maggio di quest’anno, con ripercussioni anche su clienti come la Tokyo 2020 Organizing Committee e il Ministry of Land, Infrastructure, Transport and Tourism giapponese. Dall’altro, la recente scoperta di una campagna che, pur non avendo alcuna relazione con i Giochi, ne ha sfruttato il tema per distribuire un wiper; il file .exe ricevuto dalle vittime ha un nome che tradotto suona come “[Urgente] Rapporto sui danni relativi al verificarsi di attacchi informatici, ecc. associati alle Olimpiadi di Tokyo”.

Nel frattempo ricercatori di sicurezza hanno continuato a tracciare campagne APT di varia natura, segnalando anche qualche novità.
L’Agenzia Nazionale per la Sicurezza dei Sistemi Informativi francese (ANSSI) sta gestendo una grande campagna perpetrata dal cinese APT31 (ZIRCONIUM). L’offensiva, che ha come target numerose entità francesi, è iniziata nei primi mesi del 2021 e risulta ancora in corso.
Tengyun snake (alias APT-C-61) è un gruppo asiatico che dal gennaio 2020 sta lanciando offensive contro istituzioni nazionali, l’industria militare, la ricerca scientifica e la Difesa nazionale di Paesi dell’Asia Meridionale come Pakistan e Bangladesh.
Il team turco PROMETHIUM sembra aver realizzato un attacco di tipo watering-hole compromettendo il portale del Governo siriano per distribuire un’applicazione malevola per sistemi Android.
Quanto a Turla, nota compagine controllata da Mosca, l’arsenale si è arricchito di una nuova backdoor modulare chiamata SilentMoon.
Dall’Iran giungono due notizie: l’APT sponsorizzato da Teheran Tortoiseshell ha lanciato una sofisticata campagna via Facebook negli USA, nel Regno Unito e in Europa; contemporaneamente è stato analizzato BreakWin, un malware recentemente impiegato contro il servizio ferroviario e il Ministero dei Trasporti iraniani.

Passiamo ai ransomware. Il nuovo avversario chiamato Avos Team sta distribuendo AvosLocker, una minaccia per sistemi Windows scritta in C++ che cifra tutti i drive e i network condivisi (sia in chiaro che nascosti) attraverso un processo multi-thread; fra le realtà colpite vi sono entità del settore legale e un gruppo arabo della logistica.
Di recente attivazione è anche LOCKDATA Auction, un sito sfruttato per le attività di estorsione da operatori di ransomware; dal maggio 2021 il portale ha pubblicato dettagli relativi a diversi casi attivi (con vittime localizzate in Cina, negli USA, in Arabia Saudita e nella Repubblica Ceca); le richieste di base variano da 50.000 a 500.000 dollari con un massimo di 1,5 milioni di dollari. Gli analisti hanno associato LOCKDATA Auction anche a CryLock, che potrebbe essere il rebranding dell’omologo Crykal, noto almeno dal 2014.

Per quel che concerne le vulnerabilità, è stato pubblicato il bollettino di luglio per prodotti Oracle (che comprende anche gravi bug sfruttabili da remoto per prendere il controllo totale dei sistemi); aggiornamenti anche per i sistemi operativi Apple e per Safari; patch disponibili per prodotti Adobe, Citrix, Cisco. Microsoft ha rilasciato un bollettino straordinario per una vulnerabilità di Windows non ancora corretta e già divenuta pubblica: CVE-2021-36934, di tipo Elevation of Privilege. Ricercatori di sicurezza hanno messo a punto PoC (proof of concept) di exploit per due bug nel kernel di Linux: CVE-2021-33909 (soprannominata “Sequoia“ e presente dal 2014) consente a un avversario senza privilegi di elevarli a root; CVE-2021-33910, che consente attacchi DoS (denial of service).

Concludiamo con due ordinanze giudiziarie. La Corte Federale di Giustizia di San Diego (California) ha incriminato quattro cittadini cinesi ritenuti responsabili di essere parte del gruppo Leviathan (APT40). Si tratterebbe di tre ufficiali del HSSD (Hainan State Security Department) preposti al coordinamento delle campagne e un operativo cyber.
Infine, la Corte Distrettuale del Connecticut ha condannato in via definitiva a 33 mesi di detenzione il russo Peter “Severa” Levashov, criminale informatico conosciuto internazionalmente come “bot master”, considerato fra l’altro il creatore di minacce as-a-service come il worm Storm e le botnet Waledac e Kelihos.

[post_tags]

Agent Tesla APT-C-61 APT31 APT40 Avos Team bot master BreakWin Crykal CryLock CVE-2021-33909 CVE-2021-33910 CVE-2021-36934 Dridex FormBook GuLoader Kelihos Leviathan LOCKDATA Auction NSO Group Pegasus Promethium Sequoia SilentMoon Storm Tengyun snake Tortoiseshell Waledac

Contenuti correlati

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

Pegasus e lo spionaggio governativo in Togo, Giordania e Messico

Weekly threats N.36