WEEKLY THREATS

Weekly Threats N. 40 2021

08 Ottobre 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Colpito da un ransomware il gruppo italiano Maggioli
  • Tracciate campagne malevole in Italia
  • Google sventa una campagna APT russa contro 14.000 utenti Gmail
  • Rivelati i dettagli di operazioni state-sponsored in Medio Oriente e Pakistan
  • Diverse novità dal versante ransomware
  • Stati Uniti e Hong Kong preparano nuove leggi sulla cybersecurity
  • Sono pubbliche alcune PoC di exploit per bug di Apple e Apache
  • Rilasciati i bollettini mensili per Android e Pixel

La settimana si è aperta con la notizia di un attacco ransomware andato a segno contro un target italiano. Il Gruppo Maggioli – che opera nell’editoria, nella formazione, nella consulenza e nel supporto operativo a Enti locali, Pubbliche Amministrazioni, aziende private e liberi professionisti – ha confermato l’incidente il 1° ottobre scorso. Secondo quanto dichiarato dalla compagnia, alcuni server aziendali sono rimasti temporaneamente non disponibili, ma non si è verificata alcuna interruzione delle attività produttive.

Le altre campagne malware che hanno interessato il nostro Paese hanno distribuito Ursnif con false e-mail BRT, Agent Tesla sfruttando i temi delle fatturazioni e degli ordini e Hancitor con documentazioni DocuSign fraudolente Si segnalano anche tentativi di phishing che utilizzano l’esca di una giacenza nel centro logistico di Bologna.

A livello internazionale spicca una comunicazione che Google ha inviato agli utenti Gmail il 6 ottobre. Sono oltre 14.000, un numero che eccede in misura esponenziale le medie dei normali tracciamenti, gli utenti del servizio di posta interessati da un tentativo di attacco di matrice russa associabile a Sofacy (APT28) portato avanti tramite un’e-mail di spam.
Fra le altre azioni APT di rilievo ricordiamo:
Un team iraniano chiamato MalKamak (noto anche come Tortoiseshell) ha condotto in Medio Oriente, USA, Russia ed Europa Operation GhostShell, una campagna basata sul RAT custom ShellClient.
La minoranza etnica dei beluci – stanziata fra Pakistan, Iran e Afghanistan – è stata il target di attività di spionaggio rilevate a fine settembre. Gli avversari, di probabile matrice pakistana, hanno distribuito un’applicazione Android fake che ha infettato i dispositivi col RAT open-source AhMyth.

I ransomware restano i protagonisti della scena, facendo registrare quotidianamente qualche novità.
Atom Silo, ad esempio, è un avversario scoperto nella seconda metà di settembre che ha sfruttato l’exploit della RCE CVE-2021-26084 di Altassian Confluence come vettore di compromissione nell’ambito di un attacco Object-Graph Navigation Language (OGNL). Sebbene il ransomware utilizzato dal gruppo sia quasi identico a LockFile che è, a sua volta, molto simile a quello del LockBit Team, Atom Silo utilizza tecniche innovative che hanno reso estremamente difficile l’analisi dell’attacco.
È ancora senza nome un altro attore che ha sfruttato script Python per criptare macchine virtuali ospitate sui server VMware ESXi di un sistema aziendale. Gli avversari hanno violato la rete accedendo ad un account TeamViewer in esecuzione in background su un computer appartenente a un utente con credenziali di amministratore. I file criptati sono stati sovrascritti con la parola “fuck” e poi cancellati.
Da segnalare fra i tool utilizzati anche Alkhal (tool di cifratura dei file individuato il 1° ottobre) e Spook, che potrebbe essere un rebranding di Prometheus, dell’omonimo Team.

A fronte di un fenomeno criminale che si prospetta ancora durevole e sempre più insidioso, si segnalano un’operazione di Polizia andata a buon fine. Il 28 settembre un’azione coordinata tra la Gendarmeria nazionale francese, la Polizia nazionale ucraina e l’FBI, con il coordinamento di Europol e INTERPOL, ha portato all’arresto in Ucraina di due prolifici operatori ransomware, noti per aver richiesto riscatti che vanno dai 5 ai 70 milioni di euro.
Nel frattempo, si allunga la lista delle misure legislative pronte o in corso di progettazione volte ad arginare gli attacchi informatici. Negli Stati Uniti sta per entrare in vigore la Civil Cyber-Fraud Initiative, una serie di norme di vasto respiro basate sulla Lincoln Law e mirate a perseguire le entità o gli individui che mettono a rischio le informazioni o i sistemi statunitensi. L’intento generale è di costruire un’ampia resilienza ai cyber attacchi contro il Governo, il settore pubblico e i relativi principali partner. Nella stessa direzione va una nuova legge sulla cyber security in preparazione ad Hong Kong, pensata per far sì che gli operatori dei servizi pubblici e di altre infrastrutture critiche aumentino le proprie misure di sicurezza.

Chiudiamo il nostro report settimanale con notizie riguardanti le vulnerabilità.
Sono di pubblico dominio diverse PoC dell’exploit per CVE-2021-41773 di Apache HTTP server; la falla – di tipo path traversal, che si è rivelata di fatto una RCE – risultava sfruttata In The Wild prima che fosse rilasciata la versione corretta 2.4.50. I sistemi esposti sono concentrati soprattutto negli USA, ma ne sono stati censiti tramite Shodan anche in Germania, Canada, Francia e Regno Unito.
È stata messa a disposizione anche la PoC dell’exploit per CVE-2021-1810, un bug corretto da Apple in macOS Big Sur 11.3 e Catalina Security Update 2021-002.
PoC pubbliche anche per l’exploit di due bug (CVE-2021-33044 e CVE-2021-33045) che impattano le videocamere di sorveglianza della Dahua Technology.
Infine, Google ha rilasciato i bollettini di sicurezza mensili per Android e Pixel. Ad essi si aggiungono numerosi advisory per prodotti e soluzioni Zyxel, Mozilla, Cisco, Fortinet, Moxa, Honeywell, Mitsubishi Electric, Emerson, Johnson Controls.

[post_tags]