Weekly Threats N. 30 2021

30 Luglio 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.
In sintesi:

Nuovi aggiornamenti sul caso Pegasus dell’israeliana NSO Group
Tracciate campagne malevole in Italia
Corretta 0-day già sfruttata nei sistemi operativi Apple
Rilasciata PoC per il bug PetitPotam, che consente NTLM relay attack in Windows
Interessanti novità e aggiornamenti nel mondo ransomware
Continuano le campagne nel panorama APT
Rilevata nuova versione del driver Netfilter chiamata NetRedirect
Alert delle Agenzie di USA, UK e Australia sui bug più sfruttati nel biennio 2020-21
Arrestati due cittadini bielorussi per attacchi Black Box contro ATM

Negli ultimi giorni sono continuate ad emergere novità riguardanti l’NSO Group.
A seguito della pubblicazione dell’indagine coordinata dalla francese Forbidden Stories con il supporto di Amnesty International si è creato un caso mediatico intorno alla lista di 50.000 numeri di telefono riconducibili ad attivisti, giornalisti e politici, fra cui comparirebbe anche il nome del Presidente Emanuel Macron.
Il CEO di NSO, Shalev Hulio, in un’intervista al media israeliano Calcalist, ha negato decisamente che quell’elenco provenga dalle attività della propria azienda e che si possa trattare di una lista di obiettivi o potenziali obiettivi della NSO o dei suoi clienti. A seguito delle crescenti critiche internazionali sul caso, il Ministero della Difesa israeliano ha aperto un’inchiesta sulle accuse contro la società NSO Group. Mercoledì 28 luglio, in un tweet pubblicato sull’account ufficiale, il Dicastero informava che rappresentanti di diverse Agenzie governative si sono recati negli uffici dell’azienda con base a Herzliya per indagare sulle operazioni portate alla luce le scorse settimane. Sempre nella stessa giornata, il Ministro della Difesa, Bnei Gantz, è partito per la Francia dove ha incontrato il collega Florence Forlì. Durante il colloquio Gantz avrebbe dovuto fornire un aggiornamento sulla vicenda a seguito della richiesta di indagini proprio di Macron.
Per di più, a seguito di recenti analisi condotte dell’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), sono stati pubblicati nuovi elementi che avvalorano quelli già noti. L’Agenzia francese attesta che il telefono di un giornalista di France 24, presente sulla lista, è stato oggetto di vari tentativi di attacco, fra maggio 2019 e gennaio 2021, provenienti dall’infrastruttura di Pegasus. Tra gli altri target presenti nella lista e coinvolti in questo ultimo studio abbiamo il giornalista marocchino Omar Radi, attualmente imprigionato; Claude Mangin, la moglie di un attivista del Sahara Occidentale anch’esso imprigionato in Marocco; il Ministro François de Rugy; Edwy Plenel, fondatore di Mediapart e Lenaïg Bredoux.

Passando a questioni più strettamente domestiche, in Italia sono state tracciate campagne di phishing basate su FickerStealer e Hancitor (a tema DocuSign), Ursnif (distribuito da allegati .zip, .xlsx, .xlsm e .xls) ed infine LokiBot (via falsa email sul presunto acquisto di un’opera d’arte).
Notizie particolarmente interessanti riguardano il versante delle vulnerabilità sfruttate o pubbliche. Apple ha rilasciato aggiornamenti per i propri sistemi operativi che risolvono la 0-day CVE-2021-30807, già sfruttata in the wild.
In aggiunta, un ricercatore francese ha scoperto in Windows la falla PetitPotam, che consente NTLM relay attack, e ne ha rilasciato la PoC. L’exploit avviene inviando richieste malevole SMB all’interfaccia MS-EFSRPC di un sistema remoto per forzare la macchina target ad avviare una procedura di autenticazione e catturarne le coordinate.
Rimanendo in quest’ambito, una sofisticata campagna ad opera del gruppo Praying Mantis (TG1021) ha preso di mira organizzazioni di alto livello compromettendone i network tramite server esposti su Internet. Nello specifico, gli avversari hanno sfruttato diverse vulnerabilità – anche 0-day – che impattano Windows Internet Information Services (IIS) e applicazioni web.

Tante novità in campo ransomware: negli ultimi giorni sono state segnalate campagne anche di alto livello, basate su minacce note e inedite.
Di particolare interesse la realtà chiamata BlackMatter, che dichiara di essere erede di Darkside Team (Anunak) e REvil Team; questo gruppo al momento sta reclutando affiliati su due forum underground chiamati Exploit e XSS. Il ransomware è in grado di cifrare diversi sistemi operativi e diverse architetture, come Windows (via SafeMode), Linux, VMWare ESXi 5+, NAS come Synology, OpenMediaVault, FreeNAS, TrueNAS e inoltre, dispone di un sito per i leak attivo nel dark web che, al momento, sembrerebbe ancora vuoto.
Passiamo ad Haron, scoperto per la prima volta a luglio 2021. Nonostante presenti molte somiglianze con Avaddon, sembra essere una versione rebrandizzata di Thanos, ransomware in C# il cui builder è stato pubblicato su GitHub. Durante la fase di attacco , i file criptati assumono come estensione il nome della vittima.
Di recente attivazione è anche Hive, tracciato per la prima volta nel giugno 2021 che, come molti suoi omologhi, utilizza la tecnica della doppia estorsione e un proprio sito dei leak, denominato appunto Hive Leaks. Fra le vittime eccellenti si segnala la società di software per il settore immobiliare Altus Group.
Infine, continuano ad essere tracciati attacchi che veicolano MedusaLocker. Negli ultimi tre anni il malware ha colpito svariati settori; durante la pandemia COVID-19, soprattutto quello sanitario.

Quanto agli APT, sono sono state descritte operazioni di diversa matrice.
Il team iraniano Tortoiseshell ha lanciato un attacco di social engineering particolarmente mirato contro il settore della Difesa aerospaziale. Gli avversari hanno attivato su Facebook, intorno a maggio 2018, il profilo di una tale “Marcella (Marcy) Flores”; grazie ad esso hanno costruito un rapporto con un dipendente della società target articolato in uno scambio di messaggi e-mail innocui, fotografie e video. In seguito, nei primi giorni di giugno 2021, hanno dato avvio alla fase aggressiva, inducendo la vittima a cliccare su un URL che indirizzava ad un archivio RAR contenente un file .xlsm con macro malevole. Queste hanno scaricato il malware LEMPO, una versione aggiornata del tool di ricognizione Liderc, che abusa di comandi built-in di Windows.
Dalla Cina arrivano tre diverse segnalazioni. Mustang Panda ha sfruttato una variante del malware PlugX chiamata THOR nell’ambito di un attacco contro Microsoft Exchange Server con vulnerabilità ProxyLogon (CVE-2021-26855, CVE-2021-27065). I sample più recenti mostrano anche alcune evoluzioni di rilievo riguardanti il meccanismo di delivery e l’abuso di binari certificati.
Inoltre, è emerso un nuovo cluster individuato come GhostEmperor. Gli attacchi condotti da questa realtà ancora non documentata prendono di mira server Exchange vulnerabili per la distribuzione di un rootkit e di un sofisticato framework di malware multistage per il controllo remoto.
Infine, al Governo cinese si addebita un incidente che coinvolge l’app ufficiale “Beijing OnePass”; l’utility, che offre assistenza per la richiesta di sussidi, sembrerebbe disporre di pericolose funzionalità di spyware.
In area russofona sono state tracciate campagne i cui contorni restano al momento sfumati: sebbene sia stato impiegato il noto malware Kazuar, i ricercatori ritengono che la mano sia di un qualche gruppo ancora ignoto, ribattezzato “HotCousin”.
Si continuano poi a tracciare campagne di spear phishing ad opera del gruppo nordcoreano ScarCruft. Queste sono indirizzate a specifici individui in Corea del Sud e hanno lo scopo di veicolare un piccolo infostealer capace di agire anche da dropper.

Per quel che concerne i malware, è stata tracciata una versione aggiornata del driver Netfilter che di nuovo sembra avere un certificato digitale valido di Microsoft, datato 11 luglio 2021. Gli analisti, vista l’evoluzione tecnica di questa minaccia – che continua ad operare nel settore del gaming – l’hanno rinominata NetRedirect.

Negli ultimi giorni sono stati rilasciati bollettini che correggono diverse vulnerabilità nei seguenti prodotti: i controller di robot industriali KUKA KR C ; G-Cam E2 e G-Code della società tedesca Geutebrück; il software SCADA LAquis, prodotto dalla compagnia brasiliana LCDS. Inoltre Zimbra, in seguito al rilevamento di 4 bug che impattano la sua piattaforma, ha rilasciato per la versione 9.0.0 nominata “Kepler” la Patch 16, mentre per la versione 8.8.15 chiamata “James Prescott Joule” la Patch 23.
Da ultimo, è stato pubblicato sul sito della Cybersecurity and Infrastructure Security Agency (CISA), l’advisory AA21-209A congiunto di CISA, Australian Cyber Security Centre (ACSC), United Kingdom’s National Cyber Security Centre (NCSC) e Federal Bureau of Investigation (FBI), che fornisce una lista delle principali vulnerabilità sfruttate attivamente nel biennio 2020-21 anche da avversari state-sponsored. Le Agenzie riportano i dettagli tecnici dei bug e suggeriscono best practices per la mitigazione dei rischi.
Concludiamo con l’arresto di due cittadini bielorussi da parte delle Autorità polacche con il supporto dell’Europol. I due individui avrebbero realizzato attacchi Black Box contro i bancomat in almeno sette Paesi europei rubando circa 230.000 euro e prendendo di mira sempre la stessa marca e modello di ATM.

[post_tags]

Anunak BlackMatter CVE-2021-26855 CVE-2021-27065 CVE-2021-30807 DarkSide Team FickerStealer GhostEmperor Gold Dragon Hancitor Haron Hive HotCousin Kazuar LEMPO LokiBot MedusaLocker Mustang Panda Netfilter NetRedirect NSO Group Pegasus PetitPotam PlugX Praying Mantis ProxyLogon REvil team ScarCruft THOR Tortoiseshell Ursnif

Contenuti correlati

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

Pegasus e lo spionaggio governativo in Togo, Giordania e Messico

Vulnerabilità in Atlassian, Apple, Qualcomm, Exim e Arm, attività associate a APT asiatici, nuove offensive nel panorama hacktivista