Weekly Threats N. 32 2021

13 Agosto 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Rilevata nuova 0-day della famiglia PrintNightmare
Analizzati vari malware e il servizio malevolo Prometheus TDS
Tracciate campagne da APT Indiani e sinofoni
Rilasciati numerosi advisory che trattano vulnerabilità in diversi prodotti
Il gruppo hacktivista Bielorusian Cyber-partisans compromette reti governative bielorusse

Questa settimana è stata rilevata una 0-day di tipo RCE della famiglia PrintNightmare (non ancora risolta) tracciata con CVE-2021-36958, per la quale è stata anche pubblicata una video PoC. Microsoft Exchange Sever è stato target di una campagna finalizzata allo sfruttamento di una 0-day che permetterebbe la scrittura e l’esecuzione di file su un server con privilegi SYSTEM, utilizzando le native di autodiscover per accedere a MAPI (Messaging Application Programming Interface).
Quanto a Zyxel, azienda taiwanese di prodotti per il networking, ha pubblicato un advisory in cui comunica che un avversario sta sfruttando 2 vulnerabilità note (CVE-2020-9054 e CVE-2020-29583 già patchate) insieme ad una nuova 0-day (CVE-2021-35029) per compromettere dispositivi USG/ZyWALL, USG FLEX, ATP e VPN. Tutte e 3 le vulnerabilità sono critiche, avendo un CVSS di 9.8. Si segnala che la CVE-2020-29583 consiste nella presenza di un account backdoor inserito dal produttore e “protetto” da una password contenuta in chiaro nel firmware. Un avversario sfruttando questo account può accedere al server SSH o all’interfaccia web con privilegi di amministratore.

Sul fronte ransomware segnaliamo alcune novità. Le vulnerabilità PrintNightmare (CVE-2021-1675 / CVE-2021-34527) sono state sfruttate per distribuire Vice Ransomware (alias Hello Kitty) e Magniber. L’Australian Cyber Security Centre ha rilasciato un alert riguardante la previsione di un aumento delle attività del ransomware LockBit, grazie anche allo sfruttamento della CVE-2018-13379 nei dispositivi Fortinet. LockBit Team sta attualmente impostando come sfondo nelle macchine compromesse un’immagine che pubblicizza il programma di affiliazione, con l’obiettivo di reclutare insider. Si segnala inoltre la compromissione di Accenture da parte dello stesso gruppo che ha portato all’esfiltrazione di 2.6 GB di dati.
RansomEXX Team, l’avversario che ha compromesso il CED della regione Lazio, ha pubblicato sulla sua pagina dei leak 20.74 GB di dati appartenenti a Ermenegildo Zegna e ha poi comunicato la compromissione di Gigabyte, gigante dell’hardware taiwanese. BlackMatter Team, gruppo ransomware emergente, ha colpito un’azienda del settore finanziario in India ed esfiltrato dati relativi a 500 mila utenti insieme a numerosi contratti con banche e vari documenti interni. Inoltre, ricercatori di sicurezza hanno tracciato ed analizzato la versione di BlackMatter per sistemi GNU/Linux che prende di mira in particolare installazioni ESXi. Quanto a Conti Team, un affiliato ha pubblicato il manuale del ransomware che ha messo in luce l’utilizzo del software legittimo Atera Agent per mantenere l’accesso ai sistemi in caso un antivirus rilevasse beacon Cobalt Strike o backdoor impiegate dal gruppo.

Per quanto riguarda il campo malware, sono state analizzate alcune novità tra cui: CryptBot che ha mostrato un comportamento diverso rispetto a quello precedentemente tracciato; FlyTrap, un malware per Android che ha compromesso oltre 10.000 account in 144 paesi; IISpy, una backdoor per server Microsoft IIS che rimane passiva e intercetta tutto il traffico del webserver; ed infine, il rat njRAT distribuito tramite crack per popolari programmi a pagamento. È stato anche analizzato Prometheus TDS, un servizio malevolo per il reindirizzamento del traffico in siti compromessi utilizzato per la distribuzione di malware come Campo Loader, IcedID, QBot, Hancitor, SocGholish e Buer Loader.
Molti router brandizzati anche da vari ISP europei sono compromessi da una variante della botnet Mirai attraverso lo sfruttamento della CVE-2021-20090 nel firmware Arcadyan.

Quanto alle operazioni APT, ScarCruft ha continuato a distribuire documenti malevoli in Corea del Sud. In particolare, in una campagna rilevata i documenti tentano l’exploit della CVE-2020-9715 in Adobe Acrobat. Sono state tracciate invece nuove TTP in attacchi contro Myanmar, Cina, Pakistan, Afghanistan e Nepal ricondotti all’APT indiano Sidewinder. Altri ricercatori hanno individuato un’offensiva sempre ad opera di Sidewinder che colpisce obiettivi cinesi come università, istituti di ricerca scientifica ed entità legate al settore aerospaziale. Denominata “Operation Hunting“, l’operazione ha visto l’utilizzo di una versione pesantemente modificata di GRAT2 insieme a GitHub, utilizzato per veicolare payload e gli indirizzi dei C2. Dalla Cina è stato tracciato UNC215, APT probabilmente legato ad Emissary Panda, che ha condotto campagne contro istituzioni e aziende israeliane sfruttando la CVE-2019-0604 di Microsoft SharePoint per installare il malware FOCUSFJORD e il keylogger HYPERBRO. Per mappare la rete l’avversario ha utilizzato uno scanner proprietario chiamato WHEATSCAN. Si evidenzia che UNC215 ha cercato di far attribuire gli attacchi ad APT iraniani includendo stringhe in farsi insieme a riferimenti all’Iran.
Particolarmente interessante è la notizia proveniente da una fonte giornalistica statunitense riguardante la violazione dei server cloud dell’Istituto di Virologia di Wuhan da parte della CIA. Così facendo, l’Agenzia americana avrebbe ottenuto l’accesso ad informazioni classificate contenenti i dati genetici di 22.000 campioni del virus COVID-19 in fase di studio presso l’istituto. Tuttavia, il processo di analisi e di decifrazione dei dati richiederà diverso tempo e biologi, non solo altamente specializzati, ma anche in grado di tradurre il cinese mandarino.

Per quel che concerne il versante vulnerabilità, sono stati rilasciati advisory per diversi prodotti tra cui Pulse Connect Secure, GitLab, Firefox, Magento e PAN-OS, oltre al Patch Tuesday di Microsoft e al Patch Day di SAP.

Concludiamo con la notizia relativa al gruppo hacktivista denominato Belarusian Cyber-partisans che ha dichiarato di aver compromesso le reti della Polizia e del Ministero dell’Interno, di aver esfiltrato i passaporti di tutti i cittadini bielorussi e di aver identificato agenti del KGB con relative residenze e mezzi di trasporto. Inoltre, il gruppo sostiene di aver acquisito la cronologia delle chiamate di emergenza degli ultimi 10 anni insieme ai dettagli del “plotone informatico” che gestisce canali Telegram pro-regime e pubblica video di torture e altri contenuti. Infine, sono stati esfiltrati terabyte di intercettazioni telefoniche relative sia agli oppositori del regime sia ai suoi sostenitori, alcune delle quali sono state inviate a giornalisti.

[post_tags]

Belarusian Cyber-partisans BlackMatter Team Buer Loader Campo Loader Conti Team CryptBot CVE-2018-13379 CVE-2019-0604 CVE-2020-29583 CVE-2020-9054 CVE-2020-9715 CVE-2021-1675 CVE-2021-20090 CVE-2021-28799 CVE-2021-34527 CVE-2021-35029 CVE-2021-36958 Emissary panda FlyTrap FOCUSFJORD Hancitor HyperBro IcedID IISpy LockBit Team Magniber Mirai njRAT Operation Hunting PrintNightmare Prometheus TDS QBot RansomEXX Team ScarCruft Sidewinder SocGholish UNC215 Vice Team WHEATSCAN

Contenuti correlati

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Operation Cronos colpisce duramente LockBit Team, senza riuscire a fermarlo

Fermato LockBit, individuato un presunto leak legato a Pechino e attività APT inedite, nuove offensive in Italia