Weekly Threats N. 44 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• ASL Roma 3 vittima di un cyber attacco
•  Diverse campagne malevole raggiungono l’Italia
• NSO Group, Candiru, Positive Technologies e CSIC finiscono nella Entity List americana
• I servizi ucraini individuano in Crimea 5 membri dell’APT russo Gamaredon
• Cybercriminale bielorusso fermato e rilasciato a San Pietroburgo dall’Interpol
• Numerosi aggiornamenti dal campo ransomware: scoperti DECAF e il Lockean Team
• Tracciate alcune minacce per Android
• Google corregge bug di Android già sfruttato in attacchi mirati
• Cisco risolve bug critici e una falla con PoC dell’exploit pubblica

Questa settimana abbiamo segnalato un nuovo caso di compromissione ai danni di una struttura sanitaria della Regione Lazio. Nella serata di sabato 28 ottobre la ASL Roma 3 è caduta vittima di un attacco informatico che ha mandato offline il sito web e la rete intranet. Fonti giornalistiche hanno descritto una situazione di emergenza che anche nei giorni a seguire avrebbe costretto il personale sanitario a compilare i referti su computer non connessi alla Rete, scansionarli attraverso la fotocamera dei propri dispositivi personali e, infine, inviarli ai pazienti con la propria mail privata. I 46 presidi dell’Azienda forniscono assistenza a oltre 600 mila cittadini residenti in un vasto territorio comprendente i quartieri fra Monteverde e Ostia.Nel frattempo, non si sono interrotte le campagne malevole che hanno raggiunto utenze e-mail del nostro Paese. Fra i malware distribuiti segnaliamo Agent Tesla e Dridex, ma è stata tracciata anche un’operazione di phishing che ha finto una comunicazione del sedicente Direttore di Europol, Franco Gabrielli sul tema di reati pedopornografici.

In campo internazionale sono emerse novità interessanti sia a livello state-sponsored che crime.
Il Bureau of Industry and Security (BIS) del Commerce Department statunitense ha inserito le compagnie israeliane NSO Group e Candiru, la russa Positive Technologies (Russia) e Computer Security Initiative Consultancy (CSIC) di Singapore nella Entity List. Le 4 società che hanno distribuito a Governi di tutto il mondo tool di monitoraggio finiscono quindi in un elenco di soggetti privati e pubblici le cui attività di esportazione e trasferimento dei propri prodotti nel territorio federale sono soggette alla verifica e al rilascio di una licenza. La decisione rientra in un più vasto contesto di provvedimenti promossi dall’Amministrazione Biden-Harris per la difesa dei diritti umani e civili.
Dalla Regione ex-sovietica arrivano due notizie di particolare rilevanza.
I Servizi di Intelligence ucraini sarebbero riusciti a identificare 5 membri del gruppo APT russo Gamaredon. Gli individui sarebbero ufficiali della sezione di Sebastopoli del Servizio Federale per la Sicurezza (FSB) della Federazione Russa e opererebbero sotto il coordinamento del 18° Centro, l’Information Security Center, con sede a Mosca. L’autoproclamata Repubblica Indipendente di Crimea ha stabilito con il referendum del 2014 la propria adesione alla Confederazione Russa. Tuttavia, la mancanza di riconoscimenti ufficiali di tali decisioni, autorizza l’Ucraina a considerare la Penisola ancora parte del proprio territorio nazionale. Per tale ragione i 5 indagati sono stati raggiunti dall’accusa di alto tradimento.
Il cybercriminale bielorusso Sergei Pavlovich ha pubblicato un video nel quale denuncia di essere stato protagonista di un curioso caso di arresto e scarcerazione. L’uomo sarebbe stato fermato a San Pietroburgo su mandato dell’Interpol e sarebbe stato liberato subito dopo. Pavlovich vanta un curriculum non da poco: ricercato dagli USA per uno dei più grandi casi di hacking e furto di carte di pagamento, è stato condannato nel 2009 da un Tribunale di Minsk a 10 anni di carcere.

Meta, la società prima conosciuta con il nome di Facebook, Inc., ha invece segnalato attività illecite sponsorizzate dal Governo del Nicaragua. Tramite il Coordinated Inauthentic Behavior Report (CIBR) di ottobre, segnala la disattivazione di centinaia fra pagine, gruppi e account Facebook e Instagram. L’infrastruttura fake, che avrebbe preso forma a partire dal 2018, sembra aver disseminato contenuti al fine di indirizzare l’opinione pubblica contro l’opposizione interna.

Il panorama ransomware risulta sempre particolarmente vivace.
Il CERT francese ha individuato un nuovo gruppo che agisce con strategie opportunistiche. Chiamato Lockean, il team sembra raccogliere affiliati di numerose altre crew – chiuse o ancora attive – come Maze, Egregor, DoppelPaymer, Sodinokibi (REvil), ProLock, Conti. Questo tipo di avversario, fluido e non facilmente circoscrivibile, sfrutta malware come Emotet, Qakbot e Cobalt Strike e non esita a colpire target che altre realtà evitano intenzionalmente.
Una realtà particolare di recente scoperta è anche il Moses Staff Team, un avversario di possibile matrice iraniana concentrato soprattutto contro obiettivi in Israele. Negli ultimi giorni il team ha pubblicato dati appartenenti ai soldati e al Ministero della Difesa israeliani e ha rivendicato la compromissione di 3 compagnie con base in Israele.
Fra le novità segnaliamo anche DECAF, un ransomware scritto in Go 1.17 che è in circolazione dalla fine di settembre e di cui sono già note due diverse versioni aggiornate.
Nuove varianti, per Linux e sistemi FreeBSD, sono state tracciate anche di Hive, che fino ad ora aveva infettato solo piattaforme Windows.
La pubblicazione del sorgente di Babuk ha aperto il campo alla realizzazione di sample con caratteristiche diverse: quelli più recenti sono in grado di sfruttare gli exploit delle falle ProxyShell e PetitPotam che impattano Windows Exchange Server.
Quanto a BlackMatter, il quadro risulta ancora da chiarire. Ricercatori di sicurezza hanno osservato l’uso da parte di questo Team di un inedito tool custom per l’esfiltrazione dei dati chiamato Exmatter. L’innovazione apportata all’arsenale non sembra però aprire a future prospettive di impiego, poiché sarebbe prossima la decisione da parte della crew di chiudere i battenti. Il gruppo infosec VX-Underground ha pubblicato, infatti, un messaggio presente nel backend del portale di BlackMatter nel quale si annuncerebbe la disattivazione dell’intera struttura.

Attivi e lontani dall’idea di mettersi a riposo sono invece diversi operatori di minacce per Android. Questa settimana abbiamo dato conto di campagne basate su AbstractEmu (un nuovo malware che dispone di sofisticate funzionalità di rooting) e su una variante di UBEL (botnet derivata da OSCORP). Nel frattempo, FakeCop ha colpito in Giappone spacciandosi per l’applicazione di sicurezza informatica Anshin Security.

Chiudiamo la nostra rassegna con le vulnerabilità corrette e sfruttate.
Google ha pubblicato i bollettini di sicurezza di novembre per Android e Pixel, segnalando a distanza di un giorno che la CVE-2021-1048 (use-after-free che permette di scalare i privilegi) risultava già sfruttata in attacchi mirati e limitati.
Sfruttata In The Wild è anche la RCE CVE-2021-22205 che GitLab ha patchato lo scorso aprile in Community Edition (CE) e Enterprise Edition (EE); il bug è di massima gravità perché l’exploit non richiede autenticazione.
Cisco ha pubblicato un totale di 16 advisory per vulnerabilità anche critiche. Fra di esse vi sono le CVE-2021-34795, CVE-2021-40112, CVE-2021-40113 con CVSS 10.0 e la CVE-2021-34784 di cui sta circolando una PoC dell’exploit, che non sarebbe però ancora oggetto di attacchi.
Mozilla ha rilasciato Firefox 94, Firefox ESR 91.3 e Thunderbird 91.3 che risolvono diverse falle. Sono state corrette falle anche in BIND 9, nel sistema di video management victor di Sensormatic Electronics, in Data Loss Prevention (DLP) ePO extension di McAfee. Anche Fortinet ha rilasciato numerosi bollettini di sicurezza che correggono bug nelle proprie soluzioni.

[post_tags]