Weekly Threats N. 49 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Italia: Conti e Hive Team colpiscono realtà italiane pubbliche e private
• Ransomware: riemerge Cerber con nuove caratteristiche
• APT: novità e aggiornamenti sul russo APT29 e su diverse operazioni cinesi
• Apple vs NSO Group: nuovi sviluppi della vicenda
• Mitto AG: il cofondatore della società svizzera personalmente coinvolto in attività di spionaggio state-sponsored
• KAX17: una rete di migliaia di nodi Tor fa sospettare monitoraggio governativo
• Twitter Safety: bloccate 8 influence operation condotte da Messico, Cina, Russia, Tanzania, Uganda e Venezuela
• Aggiornamenti per Android, Pixel, Chrome, Firefox, Thunderbird, WhatsApp
• Apache: PoC pubblica e scanning massivo per una RCE della libreria Log4j
• Zoho: sfruttata ITW una nuova 0-day

Attacchi ransomware hanno interessato negli ultimi giorni diverse realtà italiane.
Il gestore toscano Alia Servizi Ambientali è stato colpito il 5 dicembre. Oltre all’interruzione dei servizi digitali, registrata il primo giorno, si annunciano discontinuità anche nella gestione della raccolta dei rifiuti dedicata agli utenti positivi al Covid-19. Da giovedì 9 dicembre, il portale aziendale risulta nuovamente attivo ed accessibile.
Il 6 dicembre sono state pubblicate rivendicazioni rispettivamente da parte di Conti e Hive Team. Il primo ha aggiunto alla lista delle vittime la società Clementoni S.p.A. e ha avviato la diffusione di dati sottratti a metà novembre al Comune di Torino. Risulta ambigua, invece, l’attività dell’Hive Team, che la settimana scorsa aveva compromesso i sistemi della Ulss 6 Euganea di Padova. Sul blog degli avversari compare infatti un annuncio riguardante l’Unità locale Socio-Sanitaria 7 Pedemontana e, a complicare ancor di più il quadro, il link associato porta a un sito pieno di riferimenti alla Ulss 2. Le ipotesi al vaglio coprono ogni possibilità, dal banale errore di comunicazione ad una violazione amplificata grazie al movimento laterale.
Intanto, sabato 4 qualcuno è riuscito ad accedere al registro elettronico di tre Istituti superiori di Sacile e Brugnera (in Friuli-Venezia Giulia). Nessuna richiesta di riscatto questa volta, ma solo la sorpresa di leggere contenuti goliardici nello spazio delle note.
In un alert dell’FBI sono state segnalate operazioni firmate dal Cuba Team nell’arco di due mesi scarsi contro 49 entità di 5 settori ritenuti critici: finanziario, governativo, sanitario, manifatturiero e informatico. Gli avversari avrebbero raccolto poco più della metà dei 74 milioni di dollari richiesti complessivamente come riscatto.
Riemerge dal passato recente Cerber. La minaccia, comparsa per la prima volta nel 2016 e diventata rapidamente una delle più prolifiche dell’epoca, aveva fatto perdere le proprie tracce a fine 2019. La nuova versione, però, sembra appartenere ad una nuova famiglia; basata sulla libreria Crypto+++ ora compatibile anche con sistemi Linux, viene distribuita sfruttando CVE-2021-26084 (Atlassian Confluence) e CVE-2021-22205 (GitLab). Sono state tracciate infezioni negli Stati Uniti, in Germania, Cina e anche in Russia (che in precedenza rientrava, insieme agli altri Paesi CIS, in una blacklist). Tutte le evidenze inducono a pensare che un nuovo avversario abbia rilevato il nome, le note di riscatto e il sito di pagamento Tor del precedente gruppo.
Trasformazioni e ricicli anche per il REvil Team: quattro presunti affiliati alla crew, noti coi nickname Orange, MRT, 999 e Kajit hanno cambiato occupazione. In particolare, Kajit sembra si sia dedicato alla riprogettazione del forum underground RAMP.

Anche il mondo state-sponsored questa settimana ha riservato numerose novità, soprattutto dai quadranti russo e cinese.
APT29 (Nobelium) continua ad essere marcato strettissimo da diversi ricercatori. Questo avversario, che nel 2020 è stato fra i protagonisti della vicenda SolarWinds, nel corso di quest’anno ha lanciato numerose operazioni basate sul downloader CEELOADER (VaporRage). Sono state tracciate campagne supply chain contro diversi internet service provider e altre azioni molto sofisticate dalle quali mette in guardia la francese Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). In questo secondo caso il gruppo ha compromesso account di posta elettronica di organizzazioni francesi e li ha utilizzati per colpire organizzazioni internazionali ed entità diplomatiche straniere localizzate in Europa e Nord America. Le TTP che caratterizzano una campagna lanciata ad ottobre 2021, e ancora attiva, hanno fatto ipotizzare la mano di questo team sponsorizzato da Mosca. Significativo, in tal senso, è l’uso del tool legittimo Sliver al posto di Cobalt Strike, ma resta plausibile anche una matrice crime. Si segnalano diversi target negli USA, nel Regno Unito e in Europa.
Il Paese del Dragone, dal canto suo, continua a sponsorizzare attività di spionaggio ad ampio raggio.
A settembre 2021 è stato bloccata una campagna lanciata dal team Mirage (APT15, NICKEL) contro organizzazioni del settore pubblico e privato in 29 Paesi. Fra di esse, Governi, entità diplomatiche e ONG in tutto il Centro e Sud America, nei Caraibi, in Europa (Italia compresa), Africa e Nord America. L’infrastruttura di rete degli avversari è stata sequestrata per ordine di una Corte Distrettuale USA.
Nel Sudest Asiatico, e nello specifico contro Paesi coinvolti nella disputa sul Mar Cinese Meridionale o nella Belt and Road Initiative (BRI), hanno operato tre compagini individuate con le sigle TAG-16, TAG-33, TAG-34 e ancora non riconducibili con certezza a gruppi noti. Gli avversari hanno utilizzato FunnyDream, Chinoxy, ShadowPad, Cobalt Strike e Trochilus per esfiltrare informazioni.
ShadowPad è poi stato utilizzato, fra gli altri, da un altro avversario di matrice governativa cinese momentaneamente chiamato Red Dev 10. La nota di rilievo, in questo caso, riguarda l’adozione di una tecnica chiamata ScatterBee per offuscare payload e loader della minaccia.
Per contro, il gruppo taiwanese Green Spot (alias APT-C-01) avrebbe targettizzato la Cina per tutto il 2021. Attivo dal 2007, questo avversario è stato scoperto solo nel 2013; fra i suoi target si annoverano Università e College, Dipartimenti governativi e Istituzioni scientifiche operanti nei settori militare, dell’aviazione, energetico, edile e medico.

Rimaniamo nel campo delle attività governative.
Apple continua la propria battaglia contro NSO Group. La casa di Cupertino avrebbe notificato ad almeno nove dipendenti del Dipartimento di Stato degli Stati Uniti che i loro iPhone sono stati compromessi con lo spyware Pegasus tramite l’exploit FORCEDENTRY. Gli attacchi sarebbero avvenuti negli ultimi mesi e avrebbero riguardato funzionari dell’Ambasciata degli Stati Uniti in Uganda. L’identificazione delle vittime sarebbe stata facilitata dall’associazione di indirizzi e-mail terminanti in state.gov ai loro ID Apple.
Un’indagine condotta da Bloomberg News e dal Bureau of Investigative Journalism di Londra ha provato a fare luce su attività riguardanti Ilja Gorelik, il cofondatore della telco svizzera Mitto AG. Il problema riguarda la gestione di un servizio che avrebbe aiutato alcuni Governi a sorvegliare e tracciare segretamente alcuni cellulari. Tra il 2017 e il 2018 Gorelik avrebbe iniziato a vendere l’accesso alle reti di Mitto a società di sorveglianza per permettere loro di localizzare segretamente individui tramite i loro dispositivi. Queste società avrebbero poi stipulato a loro volta un contratto con Agenzie governative. Inoltre, l’uomo avrebbe fornito assistenza diretta a un Governo del Medio Oriente. La raccolta dei dati sarebbe avvenuta sfruttando vulnerabilità del protocollo SS7 (Signalling System 7).
È stato battezzato KAX17 un operatore della rete Tor che dal 2017 ha costruito e gestito un network di migliaia di nodi la cui attività ha destato curiosità e sospetti. Poiché si tratta perlopiù di entry e middle relay registrati senza fornire indicazioni di contatto, l’idea è che KAX17 stesse monitorando e mappando i percorsi di particolari utenti. I dati raccolti sembrerebbero suggerire che si tratti di un operatore di livello governativo che può permettersi la costituzione di una vasta, duratura e costosa infrastruttura senza badare ad eventuali ritorni finanziari.
Chiare e attribuite con certezza sono invece le operazioni di influenza che Twitter dichiara di aver rimosso. Nel Twitter Safety del 2 dicembre sono state rese pubbliche otto distinte influence operation attribuite a Messico, Repubblica Popolare Cinese, Russia, Tanzania, Uganda e Venezuela. Un totale di 3.465 account è stato rimosso in maniera permanente dal social network, unitamente a tutti i contenuti associati alle campagne.

Sul versante vulnerabilità segnaliamo una 0-day già sfruttata ITW per Zoho e una vulnerabilità critica nella popolare libreria Log4j di Apache di cui è pubblica la PoC.
Nel primo caso si tratta di un’authentication bypass tracciata come CVE-2021-44515 che impatta la soluzione di gestione unificata degli endpoint (UEM) ManageEngine Desktop Central (compreso Desktop Central MSP – Managed Service Provider). Si raccomanda vivamente di aggiornare il prodotto all’ultima build rilasciata il 3 dicembre 2021 (10.1.2127.18 per Enterprise Edition e 10.1.2127.18 e 10.1.2137.3 per MSP).
Quanto a Log4j, il bug è di tipo RCE e può essere sfruttato da un attaccante non autenticato per compromettere completamente i sistemi. Tracciata con codice CVE-2021-44228 (CVSS 10.0), impatta le versioni comprese tra la 2.0-beta9 e la 2.14.1. La fix è presente nella versione 2.15.0. Risultano in corso attività di scanning massivo che hanno già interessato la piattaforma del gioco Minecraft.Nel corso della settimana sono stati rilasciati aggiornamenti di sicurezza per altri popolari prodotti.
Android e Pixel di Google correggono nel complesso 134 bug, alcuni dei quali critici. Chrome desktop contiene patch per 20 vulnerabilità, mentre la versione per Android affronta problemi senza CVE.
Update anche per le soluzioni Mozilla: Firefox 95, Firefox ESR 91.4.0 e Thunderbird 91.4.0 risolvono 14 falle complessive.
Si fa sentire, dopo alcuni mesi, anche WhatsApp con un aggiornamento per le versioni Android (2.21.22.7) che risolve la out-of-bounds write CVE-2021-24041.