Weekly Threats N. 48 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Ransomware: colpiti Procura e Tribunale di Ferrara e Ulss 6 di Padova
• Carding Action: operazione europea blocca quasi 50.000 carte di credito in vendita nel dark web
• Individuato gruppo criminale che vendeva falsi Green Pass su Telegram
• Meta: bloccati 6 network malevoli
• AGCM: il Garante per la concorrenza sanziona Google, Amazon ed Apple
• APT: avversari cinesi sfruttano un altro bug di soluzioni Zoho
• Nexa Technologies: la compagnia francese è sotto accusa per aver venduto il tool Cerebro all’Egitto
• Novità dal mondo ransomware: ROLLCOAST è distribuito dal gruppo 54BB47h, alias Arcane, alias Eruption
• IKEA: attacco e-mail reply-chain raggiunge i dipendenti e coinvolge fornitori e partner commerciali
• Panasonic: confermato data breach
• D-Link: pubblicata PoC dell’exploit per un bug critico non ancora risolto nei DSL-3782

Le notizie italiane di questa settimana attraversano diversi settori di interesse.
Mentre continuano ad essere tracciate campagne basate sui noti malware Agent Tesla, Dridex e Ursnif, hanno destato un certo allarme due attacchi ransomware.
Uno ha riguardato la Procura e il Tribunale di Ferrara. Secondo le ricostruzioni, l’infezione è avvenuta nel primo pomeriggio del 30 novembre e ha coinvolto una dozzina di computer. Sono state avviate le investigazioni ma, in assenza di rivendicazioni, non è stato possibile ricondurre il caso ad avversari noti.
L’altro ha coinvolto i sistemi della Ulss 6 di Padova. La compromissione è avvenuta nella notte fra il 2 e il 3 dicembre e ha bloccato la maggior parte dei server dell’infrastruttura IT dell’azienda sanitaria, compresi il Cup, i punti prelievi, le nuove registrazioni dei pazienti, il sistema dei laboratori, alcuni punti tamponi e gli hub vaccinali.
L’Azione europea Carding Action, volta al contrasto del carding nel dark web, ha portato all’individuazione di 12 venditori e al blocco di quasi 50.000 carte di credito rubate. Le indagini sono state condotte dalla Sezione Financial Cybercrime del Servizio Polizia Postale e delle Comunicazioni con il supporto delle Autorità del Regno Unito, di Europol e Eurojust.
Il Nucleo Speciale Tutela Privacy e Frodi tecnologiche della Guardia di Finanza, in un’indagine coordinata dalla Procura della Repubblica di Milano, ha individuato un gruppo criminale che vendeva falsi Green Pass su Telegram al prezzo di 100 euro l’uno. L’operazione No-vax free ha utilizzato due strumenti di investigazione chiamati Bot e Avatar che, insieme ad un innovativo e dinamico monitoraggio “real time” della rete, hanno portato all’identificazione e alla perquisizione di alcuni cittadini in Veneto, Liguria, Puglia e Sicilia. I soggetti agivano da amministratori degli account Telegram dove venivano effettuate le trattative.
È in parte italiano anche uno dei 6 network malevoli bloccati dalla società Meta. Nel bollettino di sicurezza rilasciato il 1 dicembre dalla società di Zuckerberg si specifica che 4 di essi hanno violato le policy in materia di Coordinated Inauthentic Behavior (CIB) e 2 hanno infranto le nuove regole relative al Brigading (gruppi di persone che lavorano in coordinazione, interagendo con i contenuti in massa al fine di molestare gli utenti o silenziare un dibattito) e al Mass Reporting (persone che segnalano in massa un contenuto o un account al fine di vederlo sospeso dalla piattaforma). I network ostili rimossi per CIB sono localizzati in Polonia, Bielorussia, Cina e nella Striscia di Gaza, mentre provengono da Italia e Francia quello associato al Brigading, dal Vietnam quello dedito al Mass Reporting.
Sul fronte giudiziario, poi, l’AGCM (Autorità Garante della Concorrenza e del Mercato) ha chiuso due istruttorie nei confronti di Google Ireland Ltd. e di Apple Distribution International Ltd., sanzionando ciascuna per 10 milioni di euro per uso dei dati degli utenti a fini commerciali. Il 23 novembre scorso, la stessa Autorità aveva comunicato di aver multato per oltre 200 milioni di euro complessivi Amazon ed Apple per aver posto in essere un accordo restrittivo che non permetteva a tutti i rivenditori autorizzati di prodotti Apple e Beats originali di operare sul marketplace amazon[.]it.

Anche dal campo state-sponsored arrivano molte novità di particolare interesse.
Una di queste consiste di fatto nel terzo episodio di una operazione di probabile matrice cinese, rinominata TiltedTemple, che sta sfruttando vulnerabilità di prodotti Zoho. Dopo gli attacchi di settembre e ottobre basati sull’exploit per CVE-2021-40539 della soluzione ManageEngine ADSelfService Plus, gli avversari hanno realizzato l’exploit per la preAuth RCE CVE-2021-44077 di ManageEngine ServiceDesk Plus (corretta il 16 settembre di quest’anno). La ricognizione dei sistemi esposti è stata avviata il 25 ottobre e il 3 novembre i tentativi di exploitation sono andati a segno per la prima volta. L’arsenale – adattato ai nuovi sistemi target – comprende Godzilla, NGLite, KDC Sponge. Per l’infrastruttura di rete sembra siano stati usati i servizi di peer networking basati sulla blockchain del provider New Kind of Network (NKN). Le vittime accertate sono 4 organizzazioni della Difesa e 2 del settore tecnologico. Quanto all’attribuzione, il nome più accreditato sembra essere quello di Emissary Panda.
Rimaniamo nell’area dell’Asia Pacifica con due APT nordcoreani.
Lazarus Group continua a prendere di mira dipendenti di società di sicurezza sudcoreane nell’ambito di quella che è stata chiamata Operation Dream Job. Questa volta gli avversari si sono finti recruiter di Samsung e hanno invitato false offerte di lavoro ai dipendenti di alcune società di sicurezza sudcoreane specializzati in software antimalware.
ScarCruft, invece, ha sviluppato un nuovo spyware per Windows e Android chiamato Chinotto e l’ha sfruttato contro dissidenti e attivisti localizzati in Corea del Sud. Per la distribuzione sono state impiegate tecniche di social engineering basate su account Facebook e di posta elettronica compromessi. L’attività di spionaggio è stata condotta a più riprese nell’arco di tutto il 2021.
Gli oppositori del Governo egiziano sarebbero stati monitorati con il tool Cerebro, distribuito dalla francese Nexa Technologies. La compagnia, secondo quanto si apprende dall’Agenzia France-Presse (AFP), è stata accusata da una Corte francese di aver venduto apparecchiature di sorveglianza informatica al regime egiziano e, poiché queste sarebbero state usate per scoprire e catturare gli oppositori, è indagata per complicità in atti di tortura e sparizioni forzate. Alcune ONG hanno denunciato che questo software è stato alla base dell’onda repressiva contro gli oppositori di Abdel Fattah Al-Sisi. Nello specifico, secondo il CIHRS (Cairo Institute For Human Rights Studies) il regime egiziano avrebbe tratto in arresto circa 40.000 dissidenti.
Il team WIRTE (associato all’APT di matrice palestinese Molerats/Gaza Cybergang) ha invece inviato e-mail di spear-phishing contro entità diplomatiche e governative, organizzazioni militari, aziende del settore tecnologico, studi legali e istituzioni finanziarie soprattutto in Medio Oriente, ma anche in Asia Centrale, Europa ed Egitto. Fra le minacce distribuite vi è il dropper Ferocious.

Resta vivacissimo il panorama ransomware a livello globale.
È stata descritta una nuova realtà caratterizzata da frequenti cambi di nome. Individuato dagli analisti con la sigla UNC2190 e attivo almeno da luglio 2020, questo avversario si è firmato Sabbath (54BB47h), Arcane e Eruption. La minaccia che distribuisce si chiama ROLLCOAST e presenta diverse somiglianze con Tycoon.
Il Babuk Locker Team ha distribuito l’omonima minaccia tramite falsi siti web del software Anydesk, mentre il BlackByte Team ha operato l’exploit delle vulnerabilità ProxyShell di Microsoft Exchange Server.
Fra le più recenti vittime di Clop (TA505) si segnala Swire Pacific Offshore (SPO), leader nei servizi marittimi per le infrastrutture del settore Oil&Gas.
Bloccato da un ransomware ancora ignoto il network aziendale di un altro operatore energetico: il 27 novembre l’australiana CS Energy ha confermato l’incidente rassicurando che non si sono registrate conseguenze avverse in nessun segmento della catena di produzione dell’energia, nemmeno negli impianti di Callide e Kogan Creek.
Yanluowang, scoperto ad ottobre 2021 e probabilmente associabile al Vice Team, è stato protagonista a partire da agosto di numerosi attacchi mirati contro aziende statunitensi di diversi settori, tra cui quello finanziario, dell’IT, della consulenza, manifatturiero e ingegneristico.

Segnaliamo poi due attacchi informatici a vittime eccellenti.
IKEA ha dovuto fronteggiare un’offensiva basata sulla tecnica dell’e-mail reply-chain. Il colosso svedese avrebbe inviato ai propri dipendenti una comunicazione riguardante messaggi provenienti da account compromessi e server interni che contengono URL pericolosi. Sembra siano stati coinvolti anche fornitori e partner commerciali.
Panasonic ha invece confermato un data breach. Secondo quanto riportato da due portali di news giapponesi, gli avversari sarebbero riusciti ad ottenere l’accesso ai server dell’azienda per più di quattro mesi, dal 22 giugno al 3 novembre. Le informazioni esposte comprenderebbero dettagli dei clienti, dati personali dei dipendenti e file tecnici.

Concludiamo dedicandoci alle vulnerabilità.
È stata resa pubblica una PoC dell’exploit per un bug critico non ancora risolto nei modem router DSL-3782 prodotti da D-Link. Si tratta di un Improper Control of Generation of Code che consente di eseguire codice da remoto senza autenticazione. Il problema non ha ancora codice CVE, ma si può far riferimento all’identificativo #VU58487.
Nuovo exploit anche per una falla nota di Microsoft. La CVE-2021-24084 di Windows 10, inizialmente catalogata come information disclosure e corretta come tale nel Patch Tuesday di febbraio 2021, nasconde in realtà una più grave LPE (local privilege escalation) per la quale al momento è disponibile solo una micropatch realizzata dal progetto 0patch.
Infine, sono stati rilasciati advisory per prodotti e soluzioni QNAP, Zoom, Fortinet, Cisco, Hitachi Energy, Mitsubishi Electric, Delta Electronics, Mozilla, Johnson Controls, Xylem.