Weekly Threats N. 34 2021

27 Agosto 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:
– Conti ransomware contro il Consiglio Nazionale Forense italiano
– Segnalato incidente ad utenti dell’app MyTIM
– Pegasus sfruttato anche dal Bahrein contro i dissidenti e gli oppositori
– Numerose campagne malware in Italia
– Novità e trasformazioni nel panorama ransomware
– Corea del Nord e Cina attive in campo APT
– Attivisti pro-Palestina lanciano campagna di smishing in Israele
– Microsoft corregge grave bug #ChaosDB in Azure

Le notizie di rilievo di questa settimana riguardano l’attacco ransomware contro un target italiano, l’incidente che ha coinvolto utenti TIM e la scoperta di una nuova campagna di spionaggio governativo basata sullo spyware Pegasus.

Il gruppo FIN6 ha dichiarato di aver raggiunto i sistemi del Consiglio Nazionale Forense italiano (CNF) tramite Conti esfiltrando passaporti, note interne, patenti di guida, carte di identità, linee guida e altro materiale riservato di chi ha pubblicato l’1% del materiale sottratto sul portale dei leak. Sulla effettiva validità di tale attribuzione ci sono dei dubbi derivanti dall’analisi del materiale fornito e dalla mancanza di note ufficiali da parte dell’Ente.
Quanto ai clienti del provider telefonico italiano, TIM SpA ha notificato via e-mail ad alcuni clienti di aver identificato all’interno dei propri sistemi alcune azioni anomale, svolte da parte di soggetti terzi ignoti, che potrebbero aver messo a rischio la riservatezza delle credenziali di accesso a MyTIM. In seguito a tali controlli, ha proceduto alla disattivazione temporanea di alcune utenze del servizio. Ha infine ha rassicurato, in una nota ufficiale, che i dati coinvolti non contengono informazioni che possano abilitare funzioni di pagamento.

Lo spyware della compagnia israeliana NSO Group potrebbe essere stato acquistato dal Governo del Bahrein per monitorare le attività di attivisti dei diritti umani, dissidenti e membri dell’opposizione politica, a livello nazionale e transnazionale fra giugno 2020 e febbraio 2021. La minaccia – gestita in parte da uno stesso operatore barheinita che negli anni sembra essere passato dal nick PEARL a LULU – ha sfruttato gli exploit di due vulnerabilità zero-click di iOS; la prima impattava le versioni 13.5.1 e 13.7 (il relativo exploit è stato chiamato KISMET), l’altra riguardava le versioni 14.4 e 14.6 (exploit FORCEDENTRY).

In Italia si continuano a tracciare campagne basate su diversi malware: Dridex a tema fatturazione, FormBook su temi riguardanti ordini e pagamenti, Ursnif abusando del logo BRT, Hancitor fingendo documenti DocuSign, LockBit facendo riferimento a non meglio precisate richieste urgenti.

Numerose sono anche le campagne ransomware tracciate a livello globale, con alcune novità di interesse.
Si apprende dell’esistenza di un nuovo malware e di un nuovo team. Il primo si chiama LockFile, è attivo dal luglio 2021 e ha sfruttato una combinazione di pericolose vulnerabilità come quelle del gruppo ProxyShell e PetitPotam – che impattano Microsoft Exchange – per colpire organizzazioni di numerosi settori, la maggior parte quali basate negli Stati Uniti e in Asia.
Da dicembre 2020, poi, è sulla scena anche ALTDOS, un team il cui scopo principale – secondo quanto descritto dall’Agenzia per la cyber sicurezza di Singapore (CSA) – sembra quello estorsivo. Dopo aver compromesso i sistemi target sfruttando alcune falle, ALTDOS ruba i dati e infine prova a sfruttare anche un ransomware; se quest’ultimo non riesce ad operare, gli avversari comunque minacciano le vittime di leak e richiedono loro un riscatto.
Se due minacce emergono, una chiude e si rinnova: giovedì 26 agosto, il Ragnarok Team ha pubblicato sul proprio portale nel dark web la master key per la decryption dei file bloccati e, senza rilasciare alcuna spiegazione, ha cancellato tutti i dati presenti sostituendoli con un breve testo contenente le istruzioni su come recuperare il materiale bloccato. Sembrerebbe imminente il passaggio di questo avversario a un nuovo nome, Daytona Team, e quindi a un nuovo progetto.
Fra i ransomware di cui sono stati illustrati dettagli e TTP vi sono KARMA, Chaos, OnePercent Group e Lockbit.
KARMA è scritto in C/C++, cifra i file grazie alla libreria crypt32.dll inserita in CryptoAPI, ma esclude dall’attacco i record con estensioni .exe, .dll, .ini, .url, .lnk. Riguardo a Chaos, viene confermata la sua derivazione da Hidden Tear, ransomware open-source risalente all’agosto 2015.
OnePercent Group, che ha avviato le operazioni nel novembre 2020 e che pare avere contatti con il REvil Team, fa del proprio nome un programma: rilascia l’1% dei dati esfiltrati grazie al tool legittimo rclone e poi cerca un contatto diretto – via telefono e via e-mail – fra il personale della compagnia coinvolta.
Del LockBit Team abbiamo appreso molti elementi grazie ad una intervista rilasciata da uno degli affiliati al canale Youtube “Russian OSINT”. L’avversario ha colto l’occasione per vantare meriti e abilità della propria crew: tecniche di cifratura rapidissime, particolari doti professionali (è garantita la cancellazione dei dati alle vittime che hanno pagato il riscatto, sono esclusi dagli attacchi tutti gli operatori della sanità e della formazione) e una chiara impostazione antiamericana che coniuga ideologia e anche un sano pragmatismo, visto che operare dalla Russia scongiura il rischio di estradizione verso gli USA.
Il senso di responsabilità rivendicato dai russi non appartiene invece ad Hive Team, che lo scorso 15 agosto ha criptato i sistemi del Memorial Health System (Ohio) sfruttando, presumibilmente, il RAT commerciale ConnectWise per l’accesso iniziale e poi Cobalt Strike per la propagazione nel network. Sembra che la vittima sia stata selezionata con cura e che le tecniche di violazione siano state appositamente modificate per ottenere il massimo dei risultati.

Il panorama APT è equamente spartito fra Corea del Nord e Cina. ScarCruft, sponsorizzato da Pyongyang, ha utilizzato una nuova variante di KONNI in una campagna di spear phishing contro la Russia; inoltre, ha distribuito un documento che imita il Ministero degli Esteri coreano per distribuire altri tool di spionaggio contro target governativi.
Nello stesso quadrante del globo, avversari della galassia cinese Axiom hanno firmato almeno due operazioni. Una, avviata nel luglio 2020 e ancora in corso, ha avuto come protagonisti i loader Stealth Vector (scritto in C/C++) e StealthMutant (in C#); fra i target vi sono organizzazioni governative ed enti pubblici e privati in settori specifici tra cui quello dei media, delle infrastrutture, dei trasporti, dell’editoria e il settore IT. Finora, i Paesi colpiti includono India, Indonesia, Malesia, Filippine, Taiwan e Vietnam. L’altra ha raggiunto una società di vendita di computer con sede negli USA con la backdoor SideWalk, capace di esfiltrare informazioni di sistema ed eseguire payload aggiuntivi inviati dal C2.
Riguardo a ChamelGang, invece, non è nota la matrice. L’APT – che annovera fra le vittime numerose realtà governative – nel marzo 2021 è riuscito a raggiungere i sistemi di una società energetica russa tramite la compromissione di una sua sussidiaria approffittando dell’exploit pubblico per la CVE-2017-12149 in JBoss Application Server. L’arsenale dispiegato è ingente e comprende tool open source e custom, fra i quali Tiny Shell, LinuxPrivilegeElevator, BeaconLoader, ProxyT e DoorMe. L’infrastruttura di rete utilizzata è stata scelta per sembrare legittima, imitando servizi legittimi di Microsoft, TrendMicro, McAfee, IBM e Google e utilizzando certificati digitali fraudolenti.
Sul versante crime riportiamo un aggiornamento riguardante il gruppo strutturato FIN8; in un recente attacco contro un’istituzione finanziaria negli Stati Uniti ha impiegato la nuova backdoor Sardonic, che sembra essere parte di un omonimo progetto in via di realizzazione. La minaccia, scritta in C++, è una versione migliorata della backdoor BADHATCH.
Di natura più attivista che criminale è invece la campagna di smishing massivo – finalizzata ad esfiltrare dati sensibili e finanziari – tracciata di recente in Israele. Autori dell’azione sembra siano stati due attivisti pro-Palestina: una donna, Yasmena Janat Alaa Tim (Tayyem,) residente nella striscia di Gaza e suo marito, Alaa Mohmmed, residente a Londra.

Chiudiamo con una rassegna di bollettini e vulnerabilità di rilievo pubblicati negli ultimi sette giorni.
Il 26 agosto Microsoft ha segnalato a migliaia dei suoi clienti dei servizi cloud Azure l’esistenza di una vulnerabilità che permetteva a possibili malintenzionati di leggere, modificare ed eliminare i loro database. La vulnerabilità (senza CVE) è stata nominata #ChaosDB in quanto è dovuta a Cosmos DB, database di punta di Microsoft Azure. Tale vulnerabilità è stata scoperta da una società di sicurezza la quale – secondo quanto riportato da fonti giornalistiche – ha ricevuto 40.000 dollari come premio da Microsoft. L’azienda statunitense ha affermato che la falla è stata immediatamente risolta al fine di garantire sicurezza e protezione ai propri clienti.
Sono stati rilasciati aggiornamenti di sicurezza per soluzioni VMware, Hitachi ABB Power Grids, Delta Electronics, OpenSSL, Cisco, Joomla!, F5, Confluence (Atlassian).
Si invita a prestare particolare attenzione ai bug di Realtek, e in particolare a CVE-2021-35395, che risulta attivamente sfruttato dalla botnet Mirai.

[post_tags]

ALTDOS Axiom BADHATCH BeaconLoader ChamelGang Chaos Conti CVE-2017-12149 CVE-2021-35395 Daytona Team Dridex FIN6 FIN8 FORCEDENTRY FormBook Hancitor Hive Team Karma KISMET LinuxPrivilegeElevator LockFile LokBit LULU NSO Group OnePercent Group e LockBit Team Pegasus PERAL ProxyShell e PetitPotam ProxyT e DoorMe Ragnarok Team Sardonic ScarCruft Tiny Shell Ursnif

Contenuti correlati

Pegasus e lo spionaggio governativo in Togo, Giordania e Messico

Vulnerabilità in Atlassian, Apple, Qualcomm, Exim e Arm, attività associate a APT asiatici, nuove offensive nel panorama hacktivista

Weekly threats N.38