Weekly Threats N. 39 2021

01 Ottobre 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Arrestato a Mosca il fondatore e CEO di Group-IB
Ransomware raggiunge la divisione spagnola e latino-americana della compagnia italiana Covisian
Tracciato il Ransom-as-a-Service Ranion
Si continuano a monitorare campagne malware in Italia
Il russo APT29 al centro di diverse analisi
Aggiornamenti sul tool di spionaggio FinSpy della tedesca FinFisher
Due nuovi trojan bancari per Android e un nuovo malware as-a-service di matrice russa
Sfruttati In The Wild bug corretti in Google Chrome e VMware vCenter Server
Condannati in Texas 33 appartenenti al gruppo crime nigeriano Black Axe

La notizia che questa settimana ha destato maggior interesse riguarda l’arresto del fondatore e CEO di Group-IB, una delle maggiori firme di cybersecurity del mondo. Secondo quanto riferito dalla versione russa di Forbes, il fermo è avvenuto a seguito di una perquisizione alla sede centrale della compagnia, a Mosca. Ilya Sachkov, che sarà tenuto in custodia fino al 27 novembre, è accusato di tradimento e rischia una pena massima di 20 anni di detenzione.

Quanto ai ransomware, le novità non mancano. Si apprende in questi giorni di un attacco ransomware che ha coinvolto UGSS, la divisione spagnola e dell’America Latina del Gruppo Covisian – leader italiano nei servizi di Business Process Outsourcing e uno dei maggiori fornitori europei di assistenza clienti e call center. La minaccia ha bloccato gran parte dei sistemi informatici e paralizzato i call center della sua clientela di lingua spagnola. L’incidente ha avuto ripercussioni su Vodafone Spagna, l’azienda di approvvigionamento idrico di Madrid ISP MasMovil, alcune stazioni televisive e molte aziende private.
Inoltre, ricercatori di sicurezza hanno tracciato Ranion, un Ransom-as-a-Service attivo almeno dal 2017 e verosimilmente basato sul già noto Hiddden Tear.

Torniamo all’interno dei confini nazionali per segnalare alcune delle più significative campagne malware. FormBook ha raggiunto anche utenze italiane con due diverse ondate di e-mail; la prima a tema “Request for Quotation”, l’altra fingendo ordini d’acquisto; Hancitor ha continuato a sfruttare falsi documenti DocuSign e per la distribuzione di Agent Tesla è stato di nuovo utilizzato un allegato GHZ. Un report degli ultimi giorni ha ricostruito le attività condotte dal team Hastur in Italia a partire dal gennaio scorso. Gli avversari hanno distribuito il trojan bancario Ursnif ad oltre 2.000 organizzazioni sfruttando messaggi di posta elettronica che si fingono comunicazioni del corriere Bartolini o di un’azienda del settore energetico; una volta installato il malware, hanno poi fatto injection nel browser delle vittime, cercando di esfiltrare dati di portali di login associabili a UniCredit Group, BNL, Chebanca!, ING, PayPal, Amazon.

Il protagonista del panorama degli avversari state-sponsored è stato APT29. Ricercatori di sicurezza hanno pescato dall’arsenale del team russo una nuova backdoor usata in fase di post-exploitation. Foggyweb, questo il nome che le è stato assegnato, compromette server con Active Directory Federation Services (AD FS) e scarica payload aggiuntivi. La minaccia è stata osservata In-The-Wild già nell’aprile 2021; ad oggi risultano diversi tentativi di exploitation, alcuni dei quali sembrerebbero essere andati a buon fine. Microsoft ha fornito una serie di best practices da seguire per la protezione degli AD FS.
Sempre APT29, noto anche come DarkHalo e NOBELIUM, potrebbe aver firmato attacchi basati sulla backdoor Tomiris. Questo tool scritto in Go e offuscato con UPX mostra specifiche somiglianze con GoldMax, una delle backdoor sfruttate dall’avversario sponsorizzato da Mosca in una delle compromissioni relative alla vicenda SolarWinds.
Sono invece cinesi i 4 gruppi cyber governativi che hanno compromesso nell’arco di un anno un server di posta elettronica della società di telecomunicazioni afgana Roshan. Fra questi sono stati individuati Calypso, Ice Fog ed un appartenente alla galassia Axiom. La particolare attenzione concentrata su una delle maggiori Telco afgane sarebbe dovuta all’interesse da parte di Pechino di espandere la propria influenza sul Paese, a seguito del ritorno al potere dei talebani.

Quanto ai tool commerciali forniti ai Governi per le attività di cyber intelligence, negli ultimi giorni sono stati rivelati nuovi dettagli sulle funzionalità di FinSpy, distribuito dalla tedesca FinFisher. Nello specifico, sono state analizzate le TTP sample per i sistemi Windows, Linux e macOS; la distribuzione è affidata a installer trojanizzati e bootkit UEFI o MBR; fra le applicazioni più sfruttate vi sono TeamViewer, VLC Media Player, WinRAR.

In campo cybercrime si segnalano due trojan bancari per sistemi Android: Elibomi colpisce di preferenza utenti indiani e ERMAC, derivato dal codice di Cerberus, ha operato soprattutto in Polonia. Ad essi si aggiunge un malware as-a-service di matrice russa che ha mietuto vittime soprattutto nel settore del gaming online in Asia Pacifica, Europa e America Latina: si chiama BloodyStealer e, dopo una prima fase di vendita aperta, i suoi realizzatori hanno deciso di riservarlo a pochi clienti selezionati.

Sempre nutrita è anche la sezione riguardante le vulnerabilità.
Google ha risolto una 0-day sfruttata ITW (CVE-2021-37973) che impatta Chrome per desktop. VMware ha dovuto aggiornare il bollettino di sicurezza che segnalava la correzione di CVE-2021-22005 in vCenter Server perché sono stati tracciati episodi di sfruttamento attivo; inoltre, nel giro di pochi giorni è stata rilasciata una PoC dell’exploit, prima in versione censurata e poi pienamente efficace.
Quanto ai bollettini di sicurezza, segnaliamo quelli rilasciati da QNAP, NETGEAR, Siemens, Asus, Hikvision, OpenSSH e TrendMicro.

Chiudiamo con la notizia di un altro arresto. Alcune delle Corti Distrettuali del Texas hanno disposto l’incarcerazione complessivamente di 33 individui che apparterrebbero ad un gruppo crime chiamato Black Axe. Attivo dal gennaio 2017, il gruppo sarebbe erede del Neo Black Movement, una confraternita universitaria fondata nel 1970 in Nigeria e nel tempo evoluta nelle forme di una società segreta attiva in tutta l’Africa e successivamente anche in altri continenti. Black Axe avrebbe realizzato frodi finanziarie informatiche, fra cui attività BEC; da un report rilasciato nel 2020 dall’Interpol si apprende che questo gruppo è coinvolto anche in casi di sfruttamento della prostituzione, traffico di sostanze illegali e riciclaggio. Nel 2015 alcuni appartenenti all’associazione sono stati accusati di reati di stampo mafioso. Si stimano proventi illeciti per almeno 17 milioni di dollari e un numero di vittime non inferiore alle 100.

[post_tags]

Agent Tesla APT29 Axiom Black Axe BloodyStealer Calypso CVE-2021-22005 CVE-2021-37973 Elibomi ERMAC FinFisher FinSpy Foggyweb FormBook Hancitor Hastur Hiddden Tear Ice Fog Ranion Tomiris Ursnif

Contenuti correlati

Vulnerabilità in Atlassian, Apple, Qualcomm, Exim e Arm, attività associate a APT asiatici, nuove offensive nel panorama hacktivista

Weekly threats N.37

Weekly Threats N. 17 2023