WEEKLY THREATS

Weekly Threats N. 47 2021

26 Novembre 2021

In sintesi, la rassegna delle principali notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

  • L’Italia nel mirino di diverse campagne malware
  • Distribuiti nell’underground contatti di dirigenti fintech italiani ed europei
  • Apple denuncia l’israeliana NSO Group
  • Israele limita il raggio di azione delle proprie aziende di cybersecurity
  • Iran: novità su diverse attività state-sponsored
  • AgainstTheWest: emerge una nuova realtà hacktivista
  • GoDaddy: confermato data breach
  • Rilasciate PoC dell’exploit per due gravi bug di Microsoft

Fra le notizie provenienti dall’Italia questa settimana abbiamo segnalato diverse campagne malevole e un possibile data leak. Ondate di e-mail sul tema dei rimborsi hanno distribuito AdWind anche ad utenze della PA, Ursnif continua a cavalcare l’esca Enel Energia, Agent Tesla ha sfruttato il tema della fatturazione e Qakbot è stato veicolato da un messaggio di posta elettronica legittimo ma compromesso. Dridex è protagonista di due diversi attacchi globali tracciati anche nel nostro Paese: uno finge la conferma di una prenotazione alberghiera, l’altro propone un’offerta Netflix uscita in occasione dei giorni del Black Friday. Stesso tranello, ma a tema Amazon, è stato usato per una operazione di phishing.
Negli ambienti underground è circolata una raccolta di 3.887 fra numeri telefonici ed e-mail appartenenti a personale di alto livello impiegato in centinaia di aziende europee dei settori finanziario e bancario. Le aziende coinvolte sono sia pubbliche che private. Tali informazioni costituiscono un valido strumento per attacchi di tipo BEC (business email compromise) e CEO-fraud o per azioni di social engineering.

In campo internazionale, l’israeliana NSO Group è oggetto di un importante caso giudiziario: Apple ha sporto una formale denuncia alle Autorità USA contro la compagnia che distribuisce lo spyware Pegasus. Motivo della denuncia è la commercializzazione dell’exploit FORCEDENTRY per uno 0-day di iOS sfruttato nell’ambito di una campagna scoperta nell’agosto di quest’anno. La casa di Cupertino ha elogiato i ricercatori di sicurezza e Amnesty Tech per il loro lavoro innovativo volto a identificare gli abusi e ad aiutare a proteggere le vittime. D’ora in avanti si impegna ad offrire tutto il supporto tecnico necessario, dall’intelligence all’assistenza ingegneristica, a tutte le entità che si impegneranno in questa causa. La società ha chiesto un risarcimento per le presunte violazioni del Diritto Federale e Statale degli Stati Uniti perpetrate e ha richiesto un’ingiunzione permanente che impedisca a NSO Group di utilizzare qualsiasi software, servizio o dispositivo Apple. La somma che verrà eventualmente riconosciuta sarà destinata alle organizzazioni che lavorano per la ricerca e la difesa della sicurezza informatica. Fondi che sia aggiungono ai dieci milioni di dollari già stanziati da Apple stessa. Alla denuncia è seguita anche la pubblicazione di una lista di potenziali target di Pegasus che include giornalisti, oppositori politici e ricercatori di San Salvador e della Tailandia.
Di concerto con questa iniziativa e con l’inserimento di NSO Group e Candiru nella Entity List della US Commerce Department, Israele avrebbe ridotto sensibilmente la lista dei Paesi nei quali possono operare i rivenditori israeliani di cyber tool. Dei 102 iniziali, ne restano ora solo 37, comprendenti USA, Canada, Australia, Giappone, Sud Corea, India e l’area dell’Europa occidentale. Sono stati estromessi, fra gli altri, Marocco, Arabia Saudita ed Emirati Arabi.

Dal versante APT giungono numerose notizie, in particolare sull’Iran: Il Governo di Teheran nell’ultimo biennio è risultato particolarmente attivo su diversi versanti.
La massiccia operazione di disinformazione condotta durante le ultime elezioni Presidenziali USA è tuttora oggetto di indagini da parte della Cyber ​​Division dell’FBI in collaborazione con le Autorità locali. In questi giorni il Dipartimento di Giustizia ha messo sotto accusa il ventiquattrenne Seyyed Mohammad Hosein Musa Kazem (alias Hosein Zamani) e il ventisettenne Sajjad Kashian (alias Kiarash Nabavi) per aver collaborato con altri criminali alla compromissione di circa 11 siti web statali; i due risultano ancora a piede libero e il programma Rewards for Justice del Dipartimento di Stato ha offerto una ricompensa fino a 10 milioni di dollari per la loro cattura.
Inoltre, con il tracciamento di gruppi come DEV-0228 e DEV-0056, a partire da luglio scorso si è andata delineando un’ampia campagna basata su attacchi supply chain volta a compromettere entità di interesse per il regime iraniano. Nel complesso sono state emesse più di 1.600 notifiche a oltre 40 società IT vittime di attacchi iraniani, la maggior parte delle quali hanno sede in India, Israele e negli Emirati Arabi Uniti.
Infine, sono state rilevate attività state-sponsored contro target di lingua farsi localizzati perlopiù all’estero e soprattutto negli USA. Gli avversari hanno sfruttato l’exploit della RCE CVE-2021-40444 di Microsoft MSHTML per distribuire PowerShortShell, un tool snello e molto efficiente, capace di esfiltrare screenshot, documenti e dati di sistema.
Per contro, sono stati segnalati attacchi all’indirizzo di due compagnie iraniane. Domenica 21 novembre il vettore privato Mahan Air ha subito una compromissione rivendicata da un team che si firma Hoosyarane-Vatan o Observants of Fatherland. Gli avversari hanno pubblicato in un tweet il link al proprio gruppo Telegram nel quale hanno condiviso documenti che testimonierebbero i legami di Mahan Air con la Quds Force, parte dell’Islamic Revolutionary Guard Corps (IRGC). La Telco MTN Irancell sarebbe stata invece obiettivo di un attacco multi-stage. Gli impiegati dell’azienda hanno ricevuto e-mail finalizzate, da un lato, a distribuire un agent Covenant Grunt e, dall’altro, al phishing di credenziali.Nel frattempo, in un altro angolo del globo, continua Operation Dream Job del nordcoreano ScarCruft. L’avversario ha finto di essere un recruiter di Samsung e ha inviato false offerte di lavoro ai dipendenti di alcune società di sicurezza sudcoreane, specializzati in software anti-malware. Quanto ai cinesi APT31, l’arsenale si arricchisce del sofisticato impianto custom SoWaT che ha funzionalità di RAT, tunnelling e proxy. La minaccia sembra progettata per sfruttare router Pakedge che adottano sistemi GNU/Linux e processori MIPS32.

Di particolare interesse sono anche tre fatti riguardanti attività orientate ideologicamente.
AgainstTheWest, realtà hacktivista che sostiene Taiwan e la minoranza degli Uiguri, ha rivendicato la compromissione di un’emittente televisiva cinese. Le informazioni su questo gruppo risultano frammentarie. È noto che ha attivato un account sul forum underground RaidForums e che ha lanciato Operation Renminbi. Fra i target vi sono una serie di entità di alto livello come la People’s Bank of China, il Center for Disease Control and Prevention, il Ministry of Public Security, il Ministry of Science and Technology, la State Market Regulatory Administration, il produttore di cavi Zhongtian Technology Submarine, Alibaba Cloud, la società Tencent e il 17house Decoration Network. ATW sembra mirare, più che ai dati contenuti nei sistemi, alla diffusione pubblica dei codici sorgente delle compagnie colpite.
Nel mirino di Organizzazioni internazionali sono finiti due network di matrice ideologica. Il 24 novembre il Centre for Information Resilience (CIR) ha riportato di aver identificato una rete di account falsi, operante sulle piattaforme Twitter, Facebook e Instagram, che ha preso di mira la comunità e l’attivismo politico dei Sikh. Lo stesso giorno l’Europol ha reso noti i dettagli di un’investigazione a carico di 50 portali a tema jihadista, 21 dei quali sono stati sospesi dai relativi Online Service Providers (OSP).

Torniamo al mondo squisitamente cyber con alcuni dei numerosi attacchi segnalati questa settimana. GoDaddy ha confermato il data breach a 1,2 milioni di utenti. La violazione – scoperta il 17 novembre ma iniziata già il 6 settembre 2021 – ed è stata denunciata il giorno 22 alla U.S. Securities and Exchange Commission (SEC). Gli avversari, ha spiegato in una nota la compagnia, hanno abusato di una password admin compromessa per accedere ad uno dei provisioning system della gestione del legacy codebase di WordPress .
TA505 ha colpito Stor-A-File – una società britannica di archiviazione dati che conta fra i propri clienti studi medici, ospedali del NHS (National Health Service – UK), consigli comunali, studi legali e amministrativi. L’Everest Team dichiara di aver messo in vendita documenti del Governo argentino. Vestas Wind Systems – azienda danese produttrice di turbine eoliche – ha subito un attacco informatico che ha colpito parte dell’infrastruttura IT interna.

Chiudiamo con notizie riguardanti vulnerabilità gravi di Microsoft per le quali sono state rilasciate PoC dell’exploit.
Si tratta, in un caso, della RCE CVE-2021-42321 che impatta alcune versioni di Microsoft Exchange Server ed è già stata corretta nel Patch Tuesday di novembre. Senza codice CVE è invece una privilege escalation scoperta durante una verifica della patch per CVE-2021-41379 di Windows Installer, inserita nello stesso Patch Tuesday. Il ricercatore che ha svolto l’analisi ha scoperto che la patch di quella nota era incompleta e che esisteva una ben più grave possibilità di scalata dei privilegi. Non avendo ricevuto riscontri dal vendor, ha deciso di rilasciare dettagli e PoC di quest’ultima.

[post_tags]