WEEKLY THREATS

Weekly Threats N. 37 2021

17 Settembre 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.
In sintesi:

  • Grave attacco ransomware all’ospedale San Giovanni – Addolorata di Roma
  • Tracciate diverse campagne malware in Italia
  • Apple: corretto lo 0-day di FORCEDENTRY sfruttato da Pegasus
  • Aggiornamenti nel panorama ransomware
  • Cina, Medio Oriente e Sud America attive in campo APT
  • Segnalate due operazioni in ambito hacktivista
  • Il Dipartimento di giustizia americano accusa di crimini informatici tre ex dipendenti dell’U.S. Intelligence Community

Nel pomeriggio di lunedì 13 settembre, l’Ospedale San Giovanni – Addolorata di Roma ha subito un attacco ransomware che ha determinato gravi conseguenze. La Polizia Postale sta indagando sulle dinamiche della compromissione e valutando eventuali elementi in comune con la violazione subita a luglio dai sistemi della Regione Lazio.

In Italia si continuano a tracciare campagne basate su diversi malware ormai noti come: Hancitor con false notifiche DocuSign, SnakeKeylogger a tema “Quotation”, LokiBot con email che sembrano apparentemente provenire dall’Università Tor Vergata di Roma e dall’Università di Bologna e sLoad sfruttando comunicazioni PEC a tema fatturazione.

Microsoft ha corretto un gruppo di vulnerabilità chiamate OMIGOD che impattano il software open source Open Management Infrastructure (OMI) distribuito automaticamente in numerosi servizi Azure. Del più grave dei quattro bug è stata rilasciata anche la PoC dell’exploit CVE-2021-38647. È pubblica anche la Proof-of-Concept per una vulnerabilità RCE di Microsoft – identificata come CVE-2021-40444 – che impatta MSHTML. Questa falla è stata sfruttata per veicolare Cobalt Strike tramite documenti Office 365 malevoli nell’ambito di un ristretto numero di attacchi ransomware.
Sono stati rilasciati anche aggiornamenti da Apple che correggono due bug 0-day: uno sfruttato In-The-Wild (CVE-2021-30858) e l’altro (CVE-2021-30860) già noto per essere stato utilizzato da Pegasus tramite FORCEDENTRY.

Numerosi sono gli aggiornamenti nel panorama ransomware. A distanza di una settimana dalla riattivazione dei suoi server, REvil Team ha dichiarato su un forum underground russo di essere tornato all’attacco. ll team ha pubblicato sul proprio portale screenshot dei dati rubati ad una nuova vittima e ha presentato un nuovo rappresentante chiamato “REvil” dopo l’arresto del precedente conosciuto come “UNKN – Unknown”. Contestualmente una società di cyber security, in collaborazione con le Forze dell’Ordine, ha rilasciato la chiave universale per la decryption necessaria alle vittime attaccate prima del 13 luglio 2021 per il recupero dei file.
Sabato 12 settembre la compagnia americana TTEC, leader nel settore dei servizi tecnologici per il customer care online e via telefono, è caduta vittima di un incidente che ha portato all’interruzione dei servizi di network, delle applicazioni e del supporto clienti. Gli analisti ipotizzano la mano del RagnarLocker Team o di qualche altro avversario che sia intenzionato a spacciarsi per esso.
Pochi giorni prima, invece, BlackMatter Team ha colpito la società giapponese Olympus Corporation con un’offensiva che ha preso di mira i sistemi informatici dell’azienda in Europa, Medio Oriente e Africa.
Grief Team ha minacciato – in un post pubblicato sul proprio sito dei leak – di cancellare le chiavi per la decryption delle vittime che assumono negoziatori professionisti; mentre Avos Team ha rilasciato un’intervista nella quale parla di sé e afferma di essere operativo con una nuova variante del proprio ransomware nominata Avos2. Il portavoce del gruppo ha dichiarato che la minaccia è ora in grado di crittografare i dati ad una velocità di 400 MB/s, che ha una perfetta selezione di cifrari e che utilizza IOCP (Input/output completion port) per il threading.

Cina, Medio Oriente e Sud America sono state particolarmente attive nel campo APT. Dalla Cina giunge notizia di una campagna longeva nominata Operazione Harvest associata a un avversario non ancora individuato ma presumibilmente riconducibile a Emissary Panda o Axiom. L’attaccante ha ottenuto l’accesso compromettendo il web server della vittima sul quale è stato installato un software per garantire la persistenza e installare ulteriori tool.
Il cinese Mustang Panda ha violato le reti interne del Badan Intelijen Negara (BIN) – la principale Agenzia di Intelligence indonesiana – e quelle di almeno dieci Ministeri e Agenzie governative indonesiane.
Rimanendo nel continente asiatico, ricercatori di sicurezza hanno tracciato il sample di un malware utilizzato dal gruppo state-sponsored pakistano Barmanou in attacchi mirati contro i funzionari della Difesa del Governo indiano.
APT-C-23 – avversario palestinese – ha condotto offensive contro utenti del Medio Oriente con un malware Android mascherato da applicazione legittima di Google Play con un’icona simile a quella di Telegram.
In Sud America, APT-C-36 (Blind Eagle) sta conducendo una campagna inviando e-mail che sembrano provenire dalla Dirección de Impuestos y Aduanas Nacionales (DIAN) colombiana e che, annunciando alle vittime il sequestro del conto bancario, le invitano ad aprire un allegato DOCX o PDF che porta al download di un archivio compresso contenente il payload di BitRAT. Al momento, si sono registrate infezioni in Colombia, Ecuador, Spagna e Panama.

Negli ultimi sette giorni sono stati rilasciati aggiornamenti di sicurezza per soluzioni Adobe, Apple, Google, SAP, Siemens, Drupal, Digi International, Schneider Electric, Sensormatic Electronics, Citrix, Nitro Pro PDF.
In aggiunta, la multinazionale statunitense Hewlett-Packard (HP) ha rilasciato un advisory che notifica un bug ad alto impatto in un driver HP OMEN presente in milioni di dispositivi in tutto il mondo. Il problema di sicurezza, tracciato come CVE-2021-3437, se sfruttato, potrebbe consentire a qualsiasi utente sul computer, anche senza privilegi, di fare un’escalation dei privilegi ed eseguire codice in modalità kernel.
AMD ha rilasciato patch per una vulnerabilità di tipo information disclosure nel chipset driver per PSP tracciata come CVE-2021-26333.

Infine, un team congiunto di ricercatori delle università americane “University of Michigan” e “Georgia Institute of Technology”, dell’università australiana “University of Adelaide” e dell’università israeliana “Tel Aviv University”, ha sperimentato un nuovo attacco side-channel di esecuzione transitoria – chiamato spook.js – che prende di mira la funzione Site Isolation nei browser Google Chrome e Chromium-based.

Questa settimana apprendiamo di due notizie relative a operazioni in ambito hacktivista.
Il 12 settembre, un attacco contro MskHost – uno dei maggiori hosting provider russi – ha causato l’interruzione temporanea dei servizi. Gli attivisti hanno voluto denunciare l’utilizzo di questo servizio per numerose attività malevole come la realizzazione di siti di phishing e di carding (sottrazione di credenziali di pagamento dai siti di e-commerce).
Il collettivo Anonymous ha invece rivendicato un data breach contro Epik, un web hosting provider e domain registrar piuttosto controverso. L’azione, denominata EpikFail, sarebbe parte di OperationJane, una campagna lanciata per protestare contro le leggi antiabortiste del Texas.
Concludiamo con una notizia proveniente dall’ambito giudiziario internazionale.

Il 14 settembre, il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha presentato le accuse contro tre ex dipendenti dell’USIC (U.S. Intelligence Community) e dell’esercito statunitense. Gli imputati, che hanno lavorato in una società con sede negli Emirati Arabi Uniti che ha condotto operazioni di Computer Network Explotation (CNE) a beneficio del Governo emiratino tra il 2016 e il 2019, sono stati accusati di aver supervisionato la creazione di sofisticati exploit “zero-click” e di aver aiutato gli U.A.E. a sorvegliare figure di spicco dei media arabi, dissidenti e diversi giornalisti statunitensi.

[post_tags]