Weekly Threats N. 43 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Falsi Green Pass validi per l’Unione Europea in vendita nel dark web
• Campagne malware e di phishing in Italia
• Aggiornamenti e novità dal mondo ransomware
• Zero-day di Chrome e altre soluzioni già sfruttati ITW
• I gruppi APT sulla via degli attacchi supply chain
• L’Iran nella morsa delle azioni hacktiviste
• Le Autorità USA sanzionano compagnie cinesi
• Attenzione ai pacchetti NPM malevoli
• Rilasciati advisory di sicurezza per numerosi prodotti

La vicenda dei falsi Green Pass validi per l’Unione Europea messi in vendita in un noto forum underground spicca fra i numerosi fatti che abbiamo trattato questa settimana. Mercoledì 27 i giornali, sulla base di quelle che sono state definite fonti qualificate italiane, parlavano della circolazione in rete di chiavi che consentono la generazione del Green Pass europeo e mostravano screenshot di certificati a nome Adolf Hitler messi in vendita a 300 euro da un venditore polacco. L’ipotesi era che fosse avvenuta una violazione ai danni di qualche società di information technology deputata a fornire quei codici.
Successivi approfondimenti hanno svelato un quadro molto più complesso. Fra le 6 piattaforme per la generazione dei certificati risultate esposte e senza password, solo quella macedone (unica europea) sarebbe stata violata. Ma i DCC francesi, tedeschi e polacchi che sono circolati in questi giorni sono verosimilmente riconducibili a membri di piccole organizzazioni sanitarie autorizzate all’emissione, che possono aver abusato della propria posizione (e della scarsità di controlli interni) per creare questi QR code (con finalità di scherno, attivismo o guadagno economico) rompendo così la chain-of-trust. A queste stesse entità risulterebbe inoltre possibile inserire i dati e generare un’anteprima di un QR code firmato e riconosciuto come valido, senza però salvarlo nel sistema.
Diversi soggetti di realtà underground stanno affermando di poter generare DCC contraffatti a pagamento, utilizzando come prova i certificati verdi.

Nel nostro Paese continuano ad essere tracciate le consuete campagne basate sui malware Agent Tesla, Ursnif e Dridex e diverse operazioni di phishing. Una di queste ultime, in particolare è di portata globale ed ha raggiunto anche amministratori di pagine Facebook italiane. Il 23 ottobre gli avversari hanno creato la pagina “Administration Page Help Center” e lì hanno pubblicato un post fraudolento che segnala fantomatiche violazioni dei termini d’uso della piattaforma social. Il post viene taggato con le pagine gestite dalle potenziali vittime e invita a cliccare su un link per recuperare l’account ed evitarne il blocco. Le vittime sono condotte quindi a una pagina che esfiltra le loro credenziali di accesso.
Gli utenti del più antico Istituto di credito cooperativo italiano, la Banca di Cambiano, sono i target di un’altra operazione di phishing, basata su un portale fraudolento.
Si parla di ransomware – ma senza un’attribuzione certa – nel caso del sito dell’Unione Terre di Pianura che confedera i Comuni di Baricella, Granarolo dell’Emilia, Malalbergo, Minerbio. Servizi ai cittadini paralizzati a partire dalla notte fra il 26 e il 27 ottobre, gli amministratori evocano gli scenari degli attacchi a SIAE e Regione Lazio.
Sono state rivendicate, entrambe dal Conti Team, le compromissioni subite dalla San Carlo e da Artsana Group.

Nel mondo le vittime eccellenti di ransomware si contano nell’ordine delle decine ogni settimana.
Fra le più recenti, il Dipartimento delle Finanze della Papua Nuova Guinea, che controlla l’accesso ai fondi per il Governo. Gli avversari avrebbero sfruttato vulnerabilità dei sistemi riuscendo a bloccare anche l’accesso a centinaia di milioni di dollari in aiuti esteri.
Disservizi seri si sono verificati anche per la catena di supermercati britannici Tesco, che ha sospeso le vendite online, e per la multinazionale tedesca Eberspächer Group, costretta a lasciare i dipendenti a casa per almeno un giorno.
Se, da un lato, esperti di sicurezza sono riusciti a fornire gratuitamente i decryptor di Babuk Locker, Atom Silo e LockFile, dall’altro, alcune crew pare abbiano iniziato a sfruttare gli exploit di due 0-day ancora non corretti. I Team BlackMatter e LockBit avrebbero nel proprio arsenale l’exploit relativo ad una non meglio specificata RCE con accesso root che affligge le appliance VPN PPX-AnyLink della sudcoreana EntroLink. Altri avversari sono riusciti invece a sfruttare la CVE-2021-42258 che impatta il software di fatturazione BillQuick Web Suite della BQE Software.
Nel frattempo, l’Europol ha segnalato che sono in corso indagini in Ucraina e Svizzera a carico di 12 individui ritenuti responsabili di aver condotto attacchi ransomware contro infrastrutture critiche. Secondo quanto emerso, i soggetti appartengono ad organizzazioni criminali professionali e altamente strutturate che hanno distribuito LockerGoga, MegaCortex e Dharma. Si ritiene che queste offensive abbiano mietuto oltre 1.800 vittime – principalmente grandi aziende – in 71 Paesi.

La rassegna delle vulnerabilità sotto attacco risulta piuttosto ricca.
Google ha annunciato il roll out di due aggiornamenti per Chrome desktop, uno dei quali risolve anche due 0-day già sfruttati ITW (CVE-2021-38000 e CVE-2021-38003).
Un ricercatore ha scoperto che la patch per la EoP CVE-2021-34484 di Microsoft, rilasciata ad agosto, non è del tutto efficace e ha fornito la PoC del nuovo exploit. La potenziale violazione non è di semplice, né diretta realizzazione, ma il problema richiederà un nuovo intervento da parte del colosso di Redmond.
Risulta sfruttata in attacchi reali anche la CVE-2021-42013 di Apache HTTP server. Questo codice è stato assegnato alla già nota path traversal CVE-2021-41773 dopo che un analista ne aveva scoperto nuovi e più gravi dettagli, mostrando l’insufficienza della relativa fix.

Nel panorama state-sponsored spiccano attacchi supply chain di matrice russa e nordcoreana.
APT29, alias NOBELIUM, ha mirato al comparto dei servizi IT coinvolgendo rivenditori e provider di servizi tecnologici che personalizzano, distribuiscono e gestiscono i cloud o altre tecnologie. Questi, disponendo di accessi DAP (delegated administrative privileges), possono rivelarsi un varco verso le infrastrutture dei clienti. Non si registra da parte dei russi l’impiego di exploit o malware sugli entry point, ma solo la tecnica del password spraying.
Lazarus Group ha utilizzato invece la backdoor BLINDINGCAN (DRATzarus) e il RAT COPPERHEDGE contro un fornitore di soluzioni di sicurezza lettone e un think tank sudcoreano.
Cambiando matrice, ma rimanendo in campo governativo, l’Iran è alla prese dalla scorsa estate con una serie di vandalizzazioni rivendicate in tempi diversi da un gruppo di opposizione interna che si firma “Predatory Sparrow“. A luglio di quest’anno si erano verificati strani disservizi ai tabelloni di numerose stazioni ferroviarie del Paese e i sistemi informatici e il sito web del Ministero dei Trasporti iraniano erano finiti offline. Ricercatori di sicurezza avevano allora ipotizzato la mano degli hacktivisti di Indra. Nuove azioni di protesta si sono poi verificate martedì 26 ottobre, quando un cyberattacco ha interrotto le attività di numerose stazioni di servizio localizzate in differenti città, compresa la capitale Teheran, determinando una situazione di caos generale. Visti gli attuali equilibri geopolitici, ci sono state forti speculazioni sul fatto che l’attacco provenisse dagli Stati Uniti, da Israele o da una serie di gruppi locali iraniani anti-regime. Giovedì 28 Predatory Sparrow sembra aver fugato i dubbi su tutti gli episodi dichiarando di aver agito “in risposta alle azioni informatiche del regime terroristico di Teheran”. Il team avrebbe inoltre aggiunto di aver avvertito in anticipo il personale dei servizi di emergenza dell’Iran e di aver scelto di non sfruttare una vulnerabilità critica scoperta nel sistema per non determinare danni a lungo termine.

Sempre in campo governativo, abbiamo riferito di due azioni avviate dalle Autorità USA contro compagnie tecnologiche cinesi attive nel territorio federale. La sede in Florida della Pax Technology Inc., uno dei maggiori produttori di dispositivi PoS, è stata perquisita. L’azienda con base a Shenzhen è oggetto di un’investigazione congiunta di FBI, Department of Homeland Security, Customs and Border Protection, Department of Commerce e Naval Criminal Investigative Services. Si ipotizza che i device PAX siano alla base di cyber attacchi lanciati contro organizzazioni negli USA e in Europa.
La US Federal Communications Commission ha revocato alla China Telecom Americas l’autorizzazione alla fornitura di servizi di telecomunicazione nazionale e internazionale negli Stati Uniti. Nell’ordinanza si afferma che, in quanto sussidiaria di un’impresa controllata dal Governo cinese, essa è potenzialmente soggetta allo sfruttamento, al controllo e all’influenza di Pechino. Inoltre, la società avrebbe avuto comportamenti non sempre trasparenti e degni di fiducia nei confronti delle Agenzie governative americane.

Quanto al cybercrime, continua ad essere abusato il gestore legittimo NPM per la distribuzione di pacchetti malevoli. Sono state tracciate versioni malevole della libreria UAParser.js – che distribuiscono il miner XMRig – e dell’API wrapper di Roblox noblox.js – che veicolano una minaccia di tipo MBR locker chiamata Monster Ransomware.

Chiudiamo con la consueta rassegna dei bollettini di sicurezza. Hanno segnalato e corretto bug nei propri prodotti e soluzioni: Apple, Cisco, Adobe, Mitsubishi Electric, Discourse, Ericsson, Fuji Electric e Zimbra.

[post_tags]