Weekly Threats N. 35 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Tracciate diverse campagne malware in Italia
• DDoS a fini estorsivi contro VoIP britannici
• Aggiornamenti nel panorama ransomware
• Pubbliche le PoC dell’exploit per bug di Atlassian, WebSVN e Cisco
• Descritta ProxyToken che affligge Microsoft Exchange
• Possibile bypass del PIN per le contactless Mastercard
• Arrestati in Cina gli operatori della botnet Mozi
• Esce allo scoperto l’autore del leak a T-Mobile

La settimana che sta per concludersi è stata segnata in ambito italiano da varie campagne basate su diversi malware ormai noti come: NanoCore a tema pagamento; FormBook con oggetto “Request for Quotation” e “Request for Test Date Transfer”; SnakeKeylogger via falsa richiesta di pagamento proveniente da Utico; Remcos via richieste d’acquisto ed Hancitor con false notifiche DocuSign. Ad esse si aggiunge un’operazione di phishing che utilizza come esca una falsa giacenza del corriere DHL.

Il panorama ransomware si rivela sempre più dinamico. I vari team stanno mettendo a punto nuove tecniche che usano una sempre più vasta varietà di strumenti estorsivi. Ad esempio gli attacchi DDoS da parte del REvil Team contro operatori VoIP e i leak di Marketo. Voip Unlimited e Voipfone sono stati presi di mira da attacchi che ne hanno interrotto i servizi. Il primo operatore avrebbe ricevuto una colossale richiesta di riscatto da parte del REvil Team; tuttavia la società ha spiegato che sono state ripristinate le piene funzionalità, ma che l’attacco non è ancora terminato. Quanto a Marketo, il gruppo cybercrime specializzato in operazioni con finalità estorsive, ha aggiornato la sezione che menziona le organizzazioni prese di mira. Fra le vittime eccellenti troviamo la multinazionale tedesca Puma e la compagnia giapponese Fujitsu. In entrambi i casi sembrerebbe si tratti di informazioni non provenienti dai sistemi delle vittime. Infatti, l’attacco a Puma sembra essere in realtà diretta conseguenza della violazione di un fornitore, un’azienda terza che ha partnership dirette con il gruppo, la multinazionale polacca “Sii”.
Del LockBit Team abbiamo notizia di due offensive: una ai danni della compagnia aerea thailandese Bangkok Airways e l’altra contro l’istituto finanziario statunitense Envision Credit Union. Il gruppo avrebbe già minacciato le due società di esporre le informazioni rubate.
Il nuovo ransomware LockFile, attivo da luglio 2021, continua ad essere oggetto di analisi che ne hanno messo in luce nuovi dettagli, incliusa la somiglianza della nota di riscatto con quella utilizzata da LockBit 2.0.
Stesso discorso per BlackMatter, di cui sono stati evidenziati i metodi di encryption, i meccanismi anti analisi e l’avvio attraverso memory injection e tecniche “living off the land”.
Si apprendono maggiori particolari anche del ransomware Phobos, i cui operatori tuttavia non utilizzano la tecnica della doppia estorsione.

Per quel che concerne i malware, è stata tracciata una nuova famiglia composta da PRIVATELOG (una DLL a 64-bit) e dal suo installer STASHLOG. Questi sfruttano il log framework Common Log File System (CLFS) – introdotto da Microsoft in Windows Vista e Server 2003 R2 per incrementarne le performance – al fine di nascondere un payload di secondo livello. Gli analisti ipotizzano che le minacce siano ancora in fase di sperimentazione.
Chiude la botnet Phorpiex a causa della cessata partecipazione degli autori al progetto e viene messo in vendita sul dark web il suo codice sorgente ad un prezzo di 9 mila dollari.
Il gruppo Anunak (FIN7) ha avviato nell’ultimo anno una sostanziale trasformazione nelle proprie attività. Da attacchi mirati contro dispositivi PoS è passato, intorno al mese di agosto 2020, a distribuire il ransomware DarkSide che nel novembre dello stesso anno è divenuto una minaccia as-a-service, nelle disponibilità di una intera crew. Recenti indagini hanno portato alla luce 6 documenti Word con macro malevole associabili a questo avversario, ma impiegati verosimilmente in attacchi di phishign o spear phishing i cui contorni restano ancora piuttosto oscuri.

Notizie particolarmente interessanti riguardano il versante delle vulnerabilità. La CVE-2021-26084 che impatta Atlassian Confluence è stata al centro di numerosi tentativi di exploitation ed è già pubblicamente disponibile una PoC per lo sfruttamento.
Si invita inoltre a prestare particolare attenzione alla CVE-2021-32305 di WebSVN che dopo il rilascio della Proof of Concept dell’exploit risulta attivamente sfruttata dalla botnet Mirai per lanciare attacchi DDoS.
Risultano pubbliche anche le PoC di due vulnerabilità corrette da Cisco (CVE-2021-34746 e CVE-2021-34759).
Da segnalare anche il bug ProxyToken (CVE-2021-33766) di Microsoft Exchange che permette ad un attaccante remoto di bypassare l’autenticazione e apportare modifiche alla configurazione backend di un server di posta elettronica Exchange eseguendo comandi arbitrari su ogni casella di posta gestita dal server.
Aggiornamenti di sicurezza sono stati rilasciati per soluzioni Google, TeamViewer, Jenkins, GitLab, Advantech, Sensormatic Electronics e per il plugin Gutenberg Template Library & Redux Framework di WordPress.
Infine, secondo quanto scoperto da un gruppo di ricercatori della Swiss Higher Technical School di Zurigo, una vulnerabilità nel protocollo EMV contactless permetterebbe di aggirare i codici PIN sulle carte contactless Mastercard.

Concludiamo con un arresto e una rivendicazione di particolare interesse.
Gli autori della botnet Mozi – rilevata nel 2019 e soggetta a takedown nel 2020 – sono stati arrestati dalle Forze dell’Ordine cinesi. La notizia arriva poco dopo la pubblicazione di un post di Microsoft nel quale veniva descritto un nuovo modulo Mozi in grado di consentire agli autori di manomettere o reindirizzare il traffico web delle vittime.
Il data leak subito dalla compagnia telefonica T-Mobile è stato confermato ed è stato rivendicato da un cittadino statunitense con residenza in Turchia. Si tratta del 21enne John Binns, nato in Virginia da madre turca. Sembrerebbe che il sedicente esperto cyber – che sostiene di non aver agito a fini di lucro – sia fra i componenti di diversi gruppi di giovani gamer che hanno realizzato alcune botnet.