Weekly Threats N. 38 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:
• Smantellato gruppo italo-spagnolo di stampo mafioso dedito a frodi cyber finanziarie
• Continuano le campagne malware in Italia
• Già sfruttata In The Wild falla di Apple appena risolta
• Rilasciati PoC e dettagli per numerosi bug 0-day
• Scoperto il provider di 0-day del gruppo state-sponsored indiano Bitter
• Nuovi gruppi e nuovi tool in campo APT
• Nuovi malware, fra cui un infostealer per sistemi macOS
• In preparazione in USA e Olanda norme per arginare gli attacchi ransomware
• Il BlackMatter Team ha chiesto 5,9 milioni di dollari alla New Cooperative
• Data leak degli attivisti FocaLeaks mette nei guai la Polizia di El Salvador
• Rilasciati aggiornamenti per vari prodotti e corretta grave falla in vCenter Server di VMware

Questa settimana apriamo con la notizia di una operazione anticrimine che riguarda in particolare il nostro Paese. Forze di Polizia spagnole con il supporto di quelle italiane, di Europol e Eurojust hanno smantellato un gruppo dedito a frodi online, riciclaggio di denaro, traffico di sostanze illegali e reati contro la proprietà. La maggior parte degli individui coinvolti sono di nazionalità italiana (alcuni dei quali hanno connessioni con organizzazioni mafiose del nostro Paese), ma erano vivevano a Tenerife (Canarie). Gli inquirenti hanno ricostruito una sofisticata struttura piramidale articolata in aree tematiche nelle quali i vari componenti rivestivano specifici ruoli. Sono stati effettuati 106 arresti, perlopiù in Spagna e Italia, e 16 perquisizioni domiciliari; sono stati bloccati 118 conti bancari; sequestrati numerosi dispositivi elettronici, 224 carte di credito, SIM card e PoS e una piantagione di marijuana.
Le numerose campagne malware tracciate in Italia negli ultimi giorni sono basate su tecniche di distribuzione ormai note. Il trojan bancario Ursnif è stato veicolato da un’e-mail a tema Bartolini; tre e-mail a tema DHL contenevano in allegato il RAT Remcos in formato XLS; Agent Tesla ha invece tratto in inganno le proprie vittime con comunicazioni sui temi degli ordini e della fatturazione; infine, Hancitor ha utilizzato l’escamotage DocuSign.

Nutrito risulta poi il campo vulnerabilità 0-day pubblicate o già sfruttate. Apple, a distanza di pochi giorni dagli ultimi aggiornamenti, ha rilasciato Security Update 2021-006 Catalina e iOS 12.5.5 che correggono una 0-day del sottosistema XNU, identificata con codice CVE-2021-30869; la falla permette di eseguire codice arbitrario con privilegi kernel e risulta già sfruttata In The Wild.
Grande attenzione va prestata ai dispositivi Netgear che sono protagonisti di due casi separati. Un ricercatore di sicurezza ha rilasciato dettagli e PoC dell’exploit relativi a tre falle che interessano numerosi router SOHO: Draconian Fear (CVE-2021-40867), di tipo authentication hijacking race-condition; Seventh Inferno (CVE-2021-41314), privilege escalation; Demon’s Cries (CVE-2021-40866), authentication bypass.
Nel giro di una settimana Netgear ha dovuto poi correggere un altro bug in diversi modelli di router wifi di cui sono stati pubblicati caratteristiche tecniche e proof of concept. Si tratta di un RCE con privilegi root segnalato come CVE-2021-40847 sfruttabile grazie ad un attacco MitM.
Una vulnerabilità pubblica riguarda anche i router Super Hub 3 della Virgin Media. Stavolta il problema ha una lunga storia: rilevato due anni fa (CVE-2019-16651), avrebbe dovuto ricevere patch entro il primo trimestre del 2021, ma nessun segnale è ancora arrivato dalla casa produttrice.
Sempre sul tema exploit, emergono i dettagli di un attacco lanciato fra giugno 2020 e aprile 2021 dall’APT indiano Bitter contro enti governativi e telco in Cina e Pakistan. Il magazine Forbes, grazie alle segnalazioni di una società di sicurezza russa, è risalito al provider di 0-day che ha fornito al team asiatico l’exploit della CVE-2021-1732 di Microsoft. Dietro a quello che gli analisti hanno identificato come il broker Moses si cela in realtà la compagnia texana Exodus Intelligence, che collabora col Governo degli Stati Uniti e vanta fra i propri clienti le maggiori potenze occidentali. La Exodus fornirebbe un servizio di feed sugli exploit ad esclusivi fini di difesa e, una volta scoperto l’attacco, ha immediatamente sospeso dal servizio il governo indiano.

Rimanendo in argomento APT, ci sono alcune novità da segnalare. Ricercatori di sicurezza hanno tracciato un nuovo gruppo, FamousSparrow, che ha colpito Governi, strutture ricettive e aziende private in tutto il mondo. Grazie allo sfruttamento di alcune vulnerabilità note di Microsoft Exchange (come ProxyLogon), di Microsoft SharePoint e di Oracle Opera FamousSparrow ha distribuito la backdoor custom SparrowDoor. Le TTP evidenziano somiglianze con qualche realtà della galassia cinese Axiom e un altro gruppo chiamato DRDControl.
È ancora attiva Operation Armor Piercer, una campagna che dal 2020 prende di mira dipendenti governativi e personale militare nel sub-continente indiano con i RAT NetwiredRC e Ave_Maria. L’avversario non è stato identificato con certezza, ma ci sono forti somiglianze con il pachistano Barmanou.
Dall’arsenale utilizzato dal russo Turla emerge una backdoor non nuovissima, ma ancora non documentata: attiva dal 2020 e sfruttata come una sorta di minaccia di backup, nel caso di rimozione dai sistemi di altri malware, gli analisti l’hanno battezzata TinyTurla.
Infine, continuano le attività di ricerca in campo cinese da parte di Intrusion Truth. Il team di analisti sta ormai da anni ricostruendo le dinamiche di una vasta rete di front company e Dipartimenti universitari che il Governo di Pechino utilizzerebbe come struttura di formazione per operatori informatici. Le indagini hanno consentito di risalire a numerosi individui afferenti a tali entità, di cui sono stati pubblicati nomi, curriculum e profili social. Ora uno di essi ha segnalato in modo enigmatico la propria presenza con una ironica risposta ad un tweet e ciò ha fornito più o meno volontariamente un ulteriore prezioso accesso alle attività cyber governative del Ministry of State Security (MSS).

Novità anche nel campo squisitamente crime. Mentre è tornato a colpire dopo un lungo silenzio l’infostealer Jupyter contro target di alto livello, sono stati rilevati anche 3 malware di recente implementazione. Alcune applicazioni fraudolente, fra cui anche una che si finge iTerm2, stanno distribuendo in Cina e in altri Paesi del Sudest asiatico una minaccia per sistemi macOS. Tracciata come OSX.ZuRu, è in grado di esfiltrare vari tipi di informazioni. ZE Loader, invece, sfrutta attacchi overlay per raggiungere utenti di istituti finanziari in America Latina, Spagna e Portogallo. Infine, il loader Squirrelwaffle è stato tracciato a partire dalla prima metà di settembre 2021 in associazione con Cobalt Strike.

I ransomware non conoscono soste e stanno costringendo numerosi Paesi a ricercare soluzioni a un fenomeno criminale che – con le tecniche di doppia estorsione – si sta rivelando molto pericoloso a livello governativo ed economico. USA e Olanda ricorreranno a nuove leggi e norme che pongano argini ai pagamenti dei riscatti in cryptovalute. Il Governo Biden ha in programma entro la fine dell’anno la promulgazione di leggi antiriciclaggio e sulla cosiddetta terror-finance che limiteranno la possibilità di pagare i riscatti e interverranno nei casi di altre attività illecite. Sembra si voglia procedere per singoli casi, agendo su specifici wallet e contro gli utenti che opereranno in modo fraudolento, ma non su tutta l’infrastruttura degli exchange. Nel concreto, questa settimana il Department of the Tresaury statunitense ha imposto una serie di sanzioni ad un exchange di cryptovaluta chiamato Suex, con base virtuale in Repubblica Ceca, ma con sezioni operative a Mosca e San Pietroburgo e attività in Medio Oriente; oltre il 40% delle operazioni della SUEX OTC, S.R.O. – pari a oltre 370 milioni di dollari – sembra sia stato svolto in associazione ad utenti con finalità criminali.
Il Ministero di Giustizia olandese avrebbe invece manifestato l’intenzione di vietare alle compagnie di assicurazione di rimborsare i riscatti alle società colpite da ransomware.
Nel frattempo, il BlackMatter Team ha chiesto 5,9 milioni di dollari alla New Cooperative, con base nell’Iowa, leader nel settore dell’agroalimentare.

Passiamo ad una notizia di tutt’altro tenore. Il portale di giornalisti indipendenti DDoSecret ha rivelato un nuovo leak di matrice attivista realizzato da un gruppo di recente costituzione. Il collettivo FocaLeaks, che ha preso di mira la Polícia Nacional Civil (PNC) di El Salvador con un leak di dati personali e sensibili riguardante almeno 37.000 ufficiali della PNC di El Salvador. Un portavoce del gruppo, tale “John Doe”, ha spiegato che si tratta di una realtà nata da meno di un mese e composta da individui latinoamericani ed europei.

Chiudiamo segnalando l’uscita di alcuni bollettini di sicurezza e aggiornamenti: McAfee Endpoint Security per Windows, Chrome per desktop, vari prodotti Cisco e SonicWall. Si invita a prestare particolare attenzione a una delle 19 falle risolte da VMware nelle proprie soluzioni, cioè la CVE-2021-22005 di vCenter Server che consente di fare upload di file sulla porta 443 di network.

[post_tags]