Weekly Threats N. 41 2021

15 Ottobre 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

DDoS al portale della CGIL e sequestro per il sito web di Forza Nuova,
Arrestata a Genova una cittadina ucraina per frodi informatiche, ricettazione e riciclaggio,
Continuano le campagne malware in Italia,
Il Patch Tuesday di Microsoft corregge uno 0-day sfruttato da un APT cinese,
Apple alle prese con un nuovo 0-day sfruttato ITW,
Aggiornamenti e novità dai versanti APT e cybercrime,
Nuove vittime eccellenti di ransomware,
Il gruppo SnapMC fa data breach estorsivi,
Rilasciati bollettini di sicurezza per numerose soluzioni fra cui SAP, Adobe, Advantech e VMware,
Pegasus della NSO Group non potrà più mirare ai numeri di telefono britannici.

Apriamo la nostra rassegna con notizie italiane correlate alla manifestazione “No Green Pass”, organizzata sabato 9 ottobre a Roma.
Quello stesso giorno, in concomitanza con l’assalto alla sede nazionale della CGIL, è stato lanciato un attacco DDoS contro il portale del Sindacato. Ancora lunedì 11 si segnalavano attività di disturbo: nel giro di due giorni sarebbero stati circa 130.000 i tentativi di connessione avvenuti anche da IP localizzati Germania, Cina e Stati Uniti.
Martedì 12, poi, su disposizione della Procura di Roma, la Polizia Postale ha sequestrato il sito web del movimento di estrema destra Forza Nuova. Il provvedimento è scattato nell’ambito di un’indagine avviata dai PM di Roma sugli scontri di sabato che ha portato anche all’arresto di 12 persone. Secondo la Procura Capitolina esiste il “pericolo concreto ed attuale” che “la libera disponibilità e la visibilità del sito possa ulteriormente aggravare e protrarre le conseguenze del reato ipotizzato, continuando a pubblicizzare metodi di protesta ‘di lotta e scontro’, fondati sulla violenza e sulla prevaricazione”.
Un altro arresto, ma per operazioni squisitamente crime, è stato disposto dalla Procura della Repubblica presso il Tribunale di Genova ed effettuato dalla Polizia Postale. Una quarantenne russa da anni residente nel capoluogo ligure si è rivelata appartenere ad un’organizzazione transnazionale dedita alle frodi informatiche, alla ricettazione e al riciclaggio di denaro tramite exchange di cryptovaluta.
Sempre sul versante nazionale, la distribuzione di minacce ormai note come il RAT Agent Tesla e il trojan bancario Ursnif continua ad essere intensa. Si segnalano, nel primo caso, e, nell’altro, comunicazioni a tema BRT.

Di particolare interesse è il Patch Tuesday di Microsoft, che ha visto la correzione di numerose vulnerabilità, fra cui una 0-day di Windows già sfruttata. La Use-After-Free CVE-2021-40449 del driver Win32k, che consente di scalare i privilegi, è stata sfruttata dall’APT IronHusky per la distribuzione di MysterySnail RAT contro compagnie dell’Information Technology, contractor del settore militare e della Difesa ed entità diplomatiche.
Ancora uno 0-day sfruttato In The Wild, e di cui è pubblica la PoC dell’exploit, per i sistemi operaviti di Apple. Gli aggiornamenti iOS 15.0.2 e iPadOS 15.0.2 correggono CVE-2021-30883, grazie al quale si può eseguire codice arbitrario con privilegi kernel.

Torniamo agli avversari di matrice state-sponsored.
L’indiano Dropping Elephant ha avviato operazioni di spionaggio contro un attivista del Togo sfruttando due spyware: StealJob per Android e YTYframework per Windows.
L’annosa campagna SideCopy, dietro alla quale vi sarebbe il pachistano Barmanou, resta attiva e stavolta ha mirato a entità governative in India con la minaccia CetaRAT.
Emerge infine una realtà che sembra supportare gli interessi dell’Iran, individuata dagli analisti come DEV-0343. A fine luglio di 2021 è stata registrata un’estesa attività di un attacco “password spraying” contro oltre 250 utenze Office 365 appartenenti a compagnie attive nei settori della tecnologia della Difesa di Stati Uniti e Israele, porti del Golfo Persico e compagnie che utilizzano i sistemi satellitari GIS (come quelle del trasporto marittimo) operanti in Medio Oriente. In meno di venti casi l’attacco ha avuto successo.

Continuano ad avere un successo notevole anche le numerose operazioni ransomware o di data breach a fini estorsivi tracciate negli ultimi giorni.
Hanno confermato incidenti provocati su ransomware la multinazionale scozzese Weir Group e l’Hillel Yaffe Medical Center di Hadera (Israele). La giapponese Olympus Corporation ha visto i propri sistemi informatici negli Stati Uniti, in Canada e in America Latina coinvolti in quello che, nel comunicato stampa ufficiale, è stato definito un potenziale incidente di cyber security. La società era già finita sotto i colpi del BlackMatter Team, che l’8 settembre scorso ne ha compromesso i sistemi in Europa, Medio Oriente e Africa.
Mentre il noto Makop viene distribuito in Corea con l’esca del curriculum vitae, il nuovo Yanluowang sembra essere stato utilizzato in offensive mirate.
Infine, fa parlare di sé il gruppo SnapMC, che rinuncia alla fase della cifratura, limitandosi a sottrarre i dati dai sistemi delle vittime e a richiedere un riscatto per la loro restituzione e per scongiurare campagne denigratorie. Questo avversario – che sembra aver sfruttato vulnerabilità di applicazioni di webserver e soluzioni VPN, fra cui la CVE-2019-18935 di Telerik UI per ASPX.NET – ha dimostrato la propria pericolosità riuscendo a completare una procedura di esfiltrazione delle informazioni nell’arco di soli 30 minuti.

Fra le campagne malware di portata globale, segnaliamo le seguenti.
TrickBot continua ad essere distribuito con TTP costantemente rinnovate, nonostante i ripetuti arresti di appartenenti al gruppo FIN6. Una nuova variante di FluBot è stata veicolata da ondate di Smishing a utenti neozelandesi. La botnet FreakOut ha sfruttato un nuovo exploit per distribuire il cryptominer XMRig (Monero). Un altro cryptominer è stato distribuito da una minaccia per sistemi Linux, nota almeno dal 2020, abusando di Huawei Cloud.
Anche FontOnLake, una articolata e sofisticata famiglia malware di recente descrizione, colpisce macchine Linux. Fra i suoi componenti compaiono applicazioni trojanizzate, diverse backdoor e alcuni rootkit, uno dei quali è HCRootik.

Oltre a quelli di Apple e Microsoft, abbiamo dato conto di numerosi advisory di sicurezza. Sono stati rilasciati aggiornamenti per prodotti e soluzioni SAP (nel consueto Patch Day mensile), Palo Alto Networks, Schneider Electric, Siemens, Advantech, VMware, Mozilla, Adobe, Mobile Industrial Robots, InHand Networks. Correggono lo stesso bug di Improper Certificate Validation, ma con codici differenti, OpenOffice (CVE-2021-41832) e LibreOffice CVE-2021-25635.

Chiudiamo con una nota su Pegasus, lo spyware della israeliana NSO Group. Sarebbe stato rilasciato un aggiornamento del tool che impedisce di prendere di mira numeri di telefono britannici. L’intervento sarebbe stato predisposto dopo che l’Alta Corte britannica ha scoperto la compromissione del telefono della principessa Haya di Giordania da parte dell’ex marito, Mohammed bin Rashid Al Maktoum, sovrano di Dubai. Lo sceicco avrebbe interferito con la giustizia di Londra ordinando la violazione dei cellulari dell’ex moglie e dei suoi avvocati, Fiona Shackleton e Nick Manners, durante una battaglia legale per la custodia dei figli.

[post_tags]

Agent Tesla Barmanou BlackMatter Team CetaRAT CVE-2019-18935 CVE-2021-25635 CVE-2021-30883 CVE-2021-40449 CVE-2021-41832 DEV-0343 Dropping Elephant FIN6 Flubot FontOnLake FreakOut HCRootik IronHusky Makop MysterySnail RAT NSO Group Pegasus SideCopy SnapMC StealJob TrickBot Ursnif Yanluowang YTYframework

Contenuti correlati

Pegasus e lo spionaggio governativo in Togo, Giordania e Messico

Target italiani bersagliati da DDoS hacktivisti, scoperte attività inedite in Europa e Asia riconducibili a diversi APT, confermata nuova violazione ai danni di Okta

Weekly threats N.36