Weekly Threats N. 45 2021

12 Novembre 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Segnalate diverse campagne malware e di phishing in Italia
L’Hive Team colpisce la catena di elettronica MediaMarkt/MediaWorld
Il REvil Team nel mirino delle Autorità in Europa e negli Stati Uniti
Novità sullo spyware Pegasus dell’israeliana NSO Group
Rockethack e Zebra2104: Governi e operatori ransomware ricorrono ai due servizi di hacking-for-hire
Tracciate operazioni APT iraniane e nordcoreane
Il cinese DEV-0322 ha sfruttato uno 0-day di Zoho ManageEngine ADSelfService Plus
Segnalati in Australia attacchi basati su uno 0-day di Sitecore XP
Il Microsoft Patch Tuesday risolve anche due bug già sfruttati
Varie dal mondo

Sono numerose e di differente tipologia le campagne malevole che questa settimana hanno raggiunto utenze e-mail italiane. Fra di esse, ne segnaliamo tre di phishing che hanno finto, rispettivamente, un concorso della catena di supermercati Lidl, un sondaggio che promette in regalo la GoPro Hero 9 e una comunicazione di servizio della piattaforma Zimbra. Inoltre, messaggi sul tema della doppia fattura hanno distribuito Agent Tesla e comunicazioni apparentemente inviate da una società pakistana hanno veicolato in un colpo solo SnakeKeylogger, ancora Agent Tesla e un payload scritto in Python.
L’Italia è coinvolta anche nell’attacco contro i sistemi della catena di negozi di elettronica MediaMarkt, firmato dall’Hive Team. La notizia si è andata delineando nel corso della settimana; fonti giornalistiche olandesi hanno parlato di disservizi ai punti vendita in Germania, Belgio e Paesi Bassi dovuti ad un ransomware; a stretto giro si è appreso di una domanda di riscatto stratosferica (240 milioni di dollari in bitcoin); il fatto che il gruppo non abbia pubblicato nulla sul proprio sito dei leak ha indotto a ipotizzare l’avvenuto pagamento, ma la cifra concordata sembra sia stata ridimensionata a 50 milioni. Si teme che i problemi tecnici si protrarranno fino oltre il Black Friday in tutti i punti vendita, compresi gli italiani a marchio MediaWorld.

Sempre sul versante ransomware, il REvil Team ha subito una significativa battuta d’arresto. Nell’ambito della vasta operazione di Polizia GoldDust, che ha impegnato Europol, Interpol e le Forze di 17 Paesi, il 4 novembre le Autorità rumene hanno arrestato individui sospettati di aver condotto attacchi informatici con REvil. Allo stesso tempo, gli Stati Uniti hanno indirizzato la stessa accusa nei confronti del ventiduenne ucraino Yaroslav Vasinskyi e del russo Yevgeniy Polyanin. Il primo, detenuto in Polonia e in attesa di estradizione, sarebbe l’autore di 2.500 attacchi, fra cui anche quelli a Kaseya. L’altro, al quale sono stati sequestrati 6,1 milioni di dollari, avrebbe coordinato compromissioni contro numerose entità governative locali del Texas nel 2019. Polyanin è latitante e sulla sua testa pende, ironia della sorte, un riscatto da 10 milioni di dollari.

Rimaniamo in campo internazionale per dar conto delle ultime novità su Pegasus. L’israeliana NSO Group, le cui attività sono state ridimensionate all’interno del territorio federale statunitense, continua ad operare in tutto il resto del mondo senza apparenti difficoltà con il suo tool di sorveglianza. Secondo quanto riportato da Front Line Defenders, Pegasus è stato sfruttato per monitorare 6 attivisti palestinesi, membri di ONG classificate di recente da Israele come organizzazioni terroristiche. Fonti giornalistiche hanno poi rilanciato dichiarazioni di Lajos Kósa, Presidente della Commissione Parlamentare ungherese per la Difesa e le Forze dell’Ordine in merito all’uso da parte del Governo di Budapest dello spyware. I lavori della Commissione sono stati avviati a seguito dell’inchiesta The Pegasus Project, firmata da Forbidden Stories con il supporto di Amnesty International. Il contenuto delle dichiarazioni di Kósa è stato crittografato e secretato fino al 2025, ma l’uomo avrebbe confermato che i Servizi di Sicurezza e il Ministero dell’Interno hanno utilizzato il software.

Novità di particolare interesse che rientrano anche nel panorama delle attività di matrice governativa riguardano due realtà di hacking-for-hire. La prima è di matrice russa e si presenta nei forum underground come una società di servizi cyber chiamata Rockethack (attiva almeno dal 2015). Gli analisti hanno tracciato una poderosa serie di intrusioni associabili a questo team di mercenari, cui hanno attribuito il nome Void Balaur. Tra le vittime privilegiate vi sono persone ed entità politiche in Uzbekistan e Bielorussia, ma Void Balaur ha colpito a livello globale prendendo di mira anche politici e funzionari governativi in Ucraina, Slovacchia, Russia, Kazakistan, Armenia, Norvegia, Francia e Italia. Nel nostro Paese, nello specifico, si segnalano un’azione di leakage contro un gruppo di hacker-for-hire (2015) e il monitoraggio di un politico eletto al Parlamento Europeo (agosto 2021).
Zebra2104 è invece una realtà IAB, cioè un Initial Access Broker. La relativa infrastruttura ha di primo acchito messo gli analisti in una certa confusione perché si presentava come trait d’union fra avversari evidentemente distinti come il MountLocker Team, la crew che distribuisce il ransomware Phobos e il gruppo APT turco PROMETHIUM. Quest’ultimo, in particolare, sembra aver richiesto il sostegno di Zebra2104 in una campagna basata su Strongpity3 risalente al 2020.
I Governi iraniano, nordocoreano e cinese continuano invece a sponsorizzare le operazioni APT in proprio. OilRig ha colpito ISP, Telco ed Enti governativi nel Medio Oriente e in Africa. ScarCruft ha iniziato a sfruttare la piattaforma Blogspot come vettore di infezione contro target sudcoreani e Lazarus ha continuato a colpire ricercatori di sicurezza (stavolta con una versione armata della crack di IDA Pro). Quanto al team individuato con la sigla DEV-0322, già implicato nello sfruttamento della falla CVE-2021-35211 di SolarWinds, sarebbe l’autore di operazione mirate – basate sui malware Godzilla, NGLite e KdcSponge/Zebracon – che hanno sfruttato la 0-day CVE-2021-40539 di Zoho ManageEngine ADSelfService Plus.

Negli ultimi giorni sono emerse altri 4 zero-day.
L’ACSC (Australian Cyber Security Center) mette in guardia su attacchi già tracciati nel Continente basati sull’exploit di CVE-2021-42237, una RCE del CMS Sitecore Experience Platform (Sitecore XP), di cui è pubblica anche la PoC. Palo Alto Networks ha risolto una memory corruption in alcune versioni di PAN-OS che può essere sfruttata per eseguire codice da remoto senza autenticazione (CVE-2021-3064) e di cui sono pubblici i dettagli. Inoltre, il Patch Tuesday di Microsoft ha risolto CVE-2021-42321 e CVE-2021-42292, risultate già sfruttate.
Sempre in tema vulnerabilità, questa è stata la settimana del Patch Day novembrino per SAP. Hanno poi rilasciato bollettini per i propri prodotti e soluzioni Linux (kernel), Citrix, AzeoTech, VISAM, VMware, Adobe, Apple, Schneider Electric e Siemens. Quest’ultima, in particolare, ha corretto NUCLEUS:13, bug che impattano lo stack TCP/IP Nucleus RTOS; il sistema operativo è installato in circa tre miliardi di dispositivi adottati nei settori medico, automobilistico e industriale.

Chiudiamo con alcune notizie dal mondo.
La piattaforma mobile di stock trading Robinhood ha subito un data breach a fini estorsivi. L’attacco, rassicura l’azienda, è stato contenuto, sono state avviate le investigazioni e sono state informate le Autorità.
Data breach anche per la statunitense Aruba/HPE. Secondo quanto emerso, un avversario è riuscito ad ottenere un token che forniva l’accesso a un sottoinsieme limitato di informazioni contenute nell’ambiente cloud Aruba Central. I repository di dati esposti includevano informazioni classificate come “Customer Personal Data”.
Il provider VoIP globale Telnyx ha subito invece un attacco DDoS. Episodi di questo genere sono seguiti spesso dalla richiesta di un riscatto, come è avvenuto nei casi rivendicati da un sedicente REvil team contro altri operatori VoIP di Canada e Gran Bretagna.
Infine, il portale DDoSecrets ha rilasciato 1.8Tb di filmati di sorveglianza realizzati dai Dipartimenti di Polizia di Dallas, della Georgia e di Atlanta e trovati esposti su infrastrutture cloud non sicure; l’azione ha come unico scopo la sensibilizzazione dell’opinione pubblica sulla raccolta e la gestione di dati massivi da parte delle Autorità.

[post_tags]

Agent Tesla CVE-2021-3064 CVE-2021-35211 CVE-2021-40539 CVE-2021-42237 CVE-2021-42292 CVE-2021-42321 DDoSecrets DEV-0322 Godzilla Hive Team KdcSponge/Zebracon Lazarus Group MountLocker Team NGLite NUCLEUS:13 OilRig Pegasus Phobos Promethium REvil REvil team Rockethack ScarCruft SnakeKeylogger Strongpity3 Void Balaur Zebra2104

Contenuti correlati

Nuove vulnerabilità preoccupano gli esperti, tracciate offensive di APT asiatici, segnalati leak di AT&T e target italiani

Attacchi colpiscono la Francia, rivendicazioni ransomware e hacktiviste, attivi avversari cinesi, iraniani e nordcoreani

Pegasus e lo spionaggio governativo in Togo, Giordania e Messico