WEEKLY THREATS

Weekly Threats N. 33 2021

20 Agosto 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.
In sintesi:
• Cyberattacco all’ARS della Toscana
• Data breach massivo per T-Mobile
• Continuano le attività APT in tutto il mondo
• Disinformazione e propaganda di Stato: Cina contro BBC
• Interessanti aggiornamenti e novità in campo ransomware
• Sfruttate due 0-day dell’antivirus Apex One di Trend Micro
• FBI: trapelata online una lista segreta di individui sospettati di terrorismo

Fra le notizie di questa settimana spicca, sull’onda emotiva dell’incidente che ha messo in serie difficoltà il sistema sanitario del Lazio, la segnalazione di un attacco cyber contro i sistemi dell’Agenzia regionale di sanità (ARS) della Toscana. Secondo quanto riferito da diverse fonti giornalistiche, la compromissione risalirebbe al 17 agosto e avrebbe comportato la distruzione di file contenenti dati epidemiologico-statistici. Fonti interne della Regione avrebbero rassicurato sulla reale estensione ed impatto dell’incidente.
Rimanendo in ambito domestico, è stata tracciata una vasta campagna di phishing basato su SMS che ha preso di mira utenze italiane ed europee sfruttando come pretesto la mancata consegna di un pacco. L’SMS è inviato da un numero italiano e presenta un URL abbreviato che reindirizza le vittime ad una landing page malevola, predisposta con un form per sottrarre informazioni personali e i dati della carta di credito.

Passando a questioni internazionali, la compagnia telefonica statunitense T-Mobile ha avviato verifiche in merito a un possibile data breach massivo. L’incidente riguarderebbe cento milioni di utenti di cui sarebbero esposti numeri dell’assistenza sanitaria, patente di guida e numeri IMEI ospitati su server associati al provider. Nonostante l’azienda sia riuscita a far fronte all’attacco, sembrerebbe che gli avversari siano stati comunque in grado di scaricare i dati sui propri server. Inoltre, sembra siano stati messi in vendita su un forum underground per 6 bitcoin (pari a circa 270.000 dollari) 30 milioni fra numeri dell’assistenza sanitaria e patenti.

Il panorama APT riserva un buon numero di novità da diversi angoli del mondo.
Il team russo APT29 ha lanciato un attacco basato su Cobalt Strike Beacon contro target in Slovacchia. Gli avversari hanno sfruttato email di spear-phishing con allegati file ISO o IMG che si fingono documenti Word e contengono un LNK e la DLL della minaccia. In un caso, il volume name dell’allegato faceva riferimento all’NBU, l’Autorità per la Sicurezza Nazionale della Slovacchia.
Ricercatori di sicurezza hanno poi rilevato un nuovo malware chiamato Sidoh progettato dai russi per lo spionaggio e presumibilmente realizzato con il codice sorgente del ransomware Ryuk (di FIN6). Lo scopo di Sidoh sembrerebbe essere la raccolta di dati associati a obiettivi governativi, militari e diplomatici in particolare degli Stati Uniti. L’ipotesi più accreditata è che il Governo di Mosca abbia sottratto il sorgente di Ryuk e abbia poi commissionato a soggetti terzi la realizzazione e la gestione del nuovo malware.
Dropping Elephant, di matrice indiana, ha sfruttato come tema esca lo spyware Pegasus per raggiungere via e-mail militari pakistani. L’operazione, che non ha alcuna relazione con la minaccia commercializzata dall’NSO Group, prevede due fasi d’attacco finalizzate alla distribuzione di una DLL scritta in .NET progettata per l’esfiltrazione di documenti e immagini con diverse estensioni.
Nell’area mediorientale, l’iraniano OilRig ha condotto diverse offensive supply chain che hanno preso di mira aziende israeliane del settore IT tramite l’utilizzo di DanBot RAT, distribuito utilizzando tecniche di ingegneria sociale e l’utilizzo di due backdoor – una denominata Milan scritta in C++ e l’altra chiamata Shark scritta in .NET.
L’avversario nordcoreano ScarCruft ha utilizzato tecniche di watering hole compromettendo il sito di notizie sudcoreano Daily NK per distribuire la nuova minaccia BLUELIGHT. Le stesse sono state adottate anche da una realtà sponsorizzata dalla Cina per diffondere Tetris, un framework con funzionalità di spionaggio. Anche in questo caso sono stati compromessi portali di news e nel mirino dell’attacco sono finiti dissidenti e oppositori politici.
L’Afghanistan, infine, è fra i principali target di un’operazione, di cui non è ancora chiara la matrice, basata su ReverseRAT 2.0 e un nuovo tool individuato come NightFury di cui si registrano inoltre infezioni anche Giordania, India e Iran.

La Cina e il Regno Unito sono protagonisti di una contesa avviata da oltre un anno: L’emittente BBC ha pubblicato negli ultimi mesi numerosi reportage che accusano Pechino di condurre attività propagandistiche mediante social, una rete di siti di news ed una serie di account ricollegabili a soggetti stranieri che operano da influencer (chiamati “strigers”). Per tutta risposta la National Radio and Television Administration (NRTA) cinese ha messo al bando BBC World News in buona parte della nazione, contestandole la diffusione di notizie false e tendenziose.

Il mondo degli operatori ransomware resta particolarmente dinamico: dal 1° luglio al 15 agosto sono stati rilevati numerosi tentativi di attacco contro diverse aziende in Cile, Italia, Taiwan e Regno Unito basati sulla recente versione 2.0 di LockBit. La minaccia è in grado di cambiare lo sfondo del desktop con un’immagine contenete le istruzioni per il pagamento del riscatto. Particolarmente interessante anche la realizzazione di una ingegnosa campagna di reclutamento di nuovi affiliati escogitata dall’avversario: ai potenziali collaboratori, selezionati all’interno delle aziende bersaglio, vengono garantiti l’anonimato e pagamenti di “milioni di dollari” in cambio di credenziali valide per l’accesso alle reti aziendali.
La stessa strategia è stata adottata da un gruppo nigeriano chiamato DemonWare per la distribuzione dell’omonima minaccia: i complici venivano selezionati su piattaforme come LinkedIn e contattati poi via Telegram o Outlook.

È emerso Chaos, un nuovo ransomware attualmente in fase di sviluppo che non sembra aver ancora mietuto vittime. Le prime versioni del malware sembra avessero caratteristiche più affini a un wiper. Inoltre, la prima versione del builder di questo malware faceva riferimento a Ryuk, la celebre minaccia di FIN6, ma gli elementi in comune fra i due risultano quasi nulli.
Passando al SynACK Team – che ha deciso di terminare la vecchia operazione SynACK e di concentrarsi su quella lanciata il mese scorso chiamata El Cometa – segnaliamo il rilascio delle chiavi per la decryption alle vittime degli attacchi avvenuti tra luglio 2017 e luglio 2021.

Ricercatori britannici hanno sviluppato RansomClave, un ransomware sperimentale dalle caratteristiche innovative. Questo è in grado di utilizzare l’enclave Intel SGX, una delle aree separate all’interno di un processore dove il sistema operativo o le applicazioni locali (come il ransomware) possono caricare ed eseguire codice non accessibile da altri processi locali.

Riguardo alle vulnerabilità, sono stati tracciati attacchi che sfruttano due 0-day (CVE-2021-36741, CVE-2021-36742) nei prodotti antivirus Apex One e Apex One as a Service di Trend Micro. Le falle sono state corrette nella versione “CP 9601″ di Apex One insieme ad altre vulnerabilità.
Sono stati inoltre rilasciati advisory per diversi prodotti tra cui ricordiamo:
Fortinet, la cui falla “OS command injection” nell’interfaccia di gestione di FortiWeb consentirebbe ad un attaccante remoto autenticato di eseguire comandi arbitrari sul sistema;
Microsoft Exchange, le cui tre vulnerabilità ProxyShell possono essere sfruttate in catena per installare backdoor e garantire agli attaccanti un accesso persistente ai sistemi compromessi;
Realtek, le cui quattro vulnerabilità nel SDK consentono ad un avversario remoto non autenticato di compromettere completamente il dispositivo di destinazione ed eseguire codice arbitrario con il massimo livello di privilegi.

Concludiamo con le seguenti due notizie. A seguito di un’operazione coordinata dall’Europol sono stati accusati di frode BEC 23 sospetti di origine africana residenti in Europa e appartenenti ad un gruppo di criminalità organizzata. Il gruppo vendeva online materiali protettivi per il COVID-19 richiedendo pagamenti in anticipo per l’invio della merce.
Infine, è stata scoperta una lista riservata di persone sospettate di terrorismo contenente quasi 2 milioni di dati, compresa la lista “no-fly”, esposta online senza password e resa disponibile su un cluster Elasticsearch. La fonte potrebbe essere il Terrorist Screening Center (TSC) dell’FBI. Il database è rimasto accessibile su un server del Bahrain dal 19 luglio al 9 agosto 2021.

[post_tags]