Weekly Threats N. 50 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Log4shell: 0-day critica di Apache Log4j è stata sfruttata a livello globale
• NSO Group: la società medita di chiudere i battenti
• Meta: bloccati i network di sette società che operano nel settore della sorveglianza
• SOGIN: in vendita nell’underground i dati della compagnia di Stato italiana
• Conti Team: colpito l’italiano Gruppo Comerio Ercole
• Italia: tracciate campagne basate su FormBook, LokiBot, GuLoader, Agent Tesla e Ursnif
• Karakurt: emerge un nuovo gruppo con fini estorsivi
• ALPHV Team: nuova realtà nel panorama dei Ransomware-as-a-Service
• Microsoft: il Patch Tuesday corregge un bug sfruttato ITW
• Google: risolta 0-day già sfruttata di Chrome desktop

Protagonista indiscussa della settimana è stata la 0-day Log4Shell (CVE-2021-44228) della libreria Apache Log4j. La vulnerabilità – una RCE preAuth con severity massima – è stata segnalata all’Apache Foundation il 5 dicembre; il giorno successivo è stato rilasciato un advisory con una prima patch e alcuni dettagli del problema; il 9 dicembre sono state poi rese pubbliche alcune PoC dell’exploit. Le attività di scanning e sfruttamento erano già iniziate il 1° dicembre, ma dal 10 del mese – giorno in cui è stata anche rilasciata la patch definitiva – hanno assunto dimensioni globali.
La libreria è adottata da centinaia di soluzioni di vendor come Adobe, Amazon, Atlassian, Broadcom, Cisco, Fortinet, IBM, Microsoft, Oracle, Siemens, SolarWinds, SonicWall, VMware. Le operazioni di verifica dei prodotti impattati e rilascio delle patch in alcuni casi sono ancora in corso.
Nel frattempo, sono state tracciate campagne specifiche sia crime sia di matrice state-sponsored.
I primi nomi sono stati quelli di botnet note come Mirai, Kinsing, Elknot (BillGates) e Muhstik (una variante di Tsunami) e del miner XMRig. In seguito, sono stati segnalati attacchi basati sull’inedito StealthLoader, sul nuovo ransomware Khonsari e anche su Orcus RAT. Inoltre, sono state rilevate campagne di gruppi come l’iraniano Charming Kitten, il cinese Hafnium, e altri avversari state-sponsored iraniani, nordcoreani e turchi.
Ad essi si sono aggiunti gruppi che agiscono come “access broker”, sfruttando la falla per ottenere l’accesso alle reti e poi rivenderlo ad affiliati Ransomware-as-a-Service.

Altro tema caldo della settimana sono le vicende che coinvolgono diverse società che distribuiscono tool di sorveglianza a Governi di tutto il mondo.
L’israeliana NSO Group, in seguito alle crescenti pressioni subite dopo le restrizioni USA e alle azioni legali intraprese da Apple, starebbe riflettendo sulla chiusura dell’unità Pegasus o addirittura sulla vendita dell’intera struttura.
La società di sicurezza DarkMatter Group e tre dei suoi ex dirigenti sono stati denunciati dall’Electronic Frontier Foundation (EFF) per aver collaborato direttamente con il Project Raven del Governo emiratino e, nello specifico, alle attività di monitoraggio di Loujain Alhathloul, attivista saudita per i diritti delle donne.
Nel frattempo, una nuova indagine ha portato alla luce casi di spionaggio governativo in Egitto basati sullo spyware Predator di Cytrox. Fondata nel 2017, Cytrox è un’azienda macedone parte del consorzio internazionale Intellexa. Quest’ultimo, emerso nel 2019, riunisce diversi operatori del settore della sorveglianza informatica, tra cui Nexa Technologies, WiSpear/Passitora Ltd. e Senpai. Potenziali clienti di Cytrox Predator sono stati individuati in Armenia, Grecia, Indonesia, Madagascar, Oman, Arabia Saudita e Serbia.
Cytros, inoltre, è finita nel mirino di Meta insieme alle israeliane Cobwebs, Cognyte, Black Cube, Bluehawk, l’indiana BellTroX e una compagnia cinese di cui non è noto il nome ma che sembra riconducibile ad una realtà state-sponsored. Queste sette società di sicurezza pubblicizzavano i propri servizi come destinati alle Forze dell’Ordine, ma in realtà, secondo le analisi di Meta, avrebbero fornito assistenza indiscriminatamente a qualsiasi cliente. Nel complesso offrono servizi che vanno dalle attività di ricognizione dei potenziali target, all’ingaggio delle vittime attraverso tecniche di social engineering e alla distribuzione di malware. La compagnia di Zuckerberg ha bloccato le relative infrastrutture, bandito queste entità dalla piattaforma ed emesso avvisi di cessazione e desistenza. Inoltre, Meta ha affermato di aver informato Forze dell’Ordine, ricercatori e politici e dato supporto alle persone prese di mira. Sono stati rimossi circa 1.500 account e sono stati allertati i 50.000 utenti coinvolti, localizzati un po’ in tutto il mondo.
Sempre in campo social e in ambito governativo, si segnala il cambio alla guida del VK Group, che controlla la piattaforma social più famosa di Russia (con oltre 71 milioni di utenti attivi al mese) e altre attività in rete nel Paese. La piattaforma è menzionata dal Dipartimento di Stato USA come veicolo e amplificatore della disinformazione russa, ed è già stata sfruttata in alcune campagne di propaganda e destabilizzazione architettate da Mosca. Nella giornata del 13 dicembre, il gruppo russo ha nominato come nuovo CEO Vladimir Kiriyenko – figlio di Sergei Kiriyenko, numero due del Gabinetto dell’Amministrazione Putin, alimentando ulteriormente le accuse di controllo via via più stringente su VKontakte da parte del Cremlino. Anche se la grande maggioranza degli utenti della piattaforma (83,3%) è localizzata in Russia, nel 2020 il social network è stato in cima alle classifiche per numero di utenti anche in Ucraina, Bielorussia, Kazakistan e Lettonia, Paesi localizzati in aree geografiche sensibili e di forte interesse per il gigante euroasiatico.

Quanto all’Italia, sono stati segnalati diversi attacchi.
Il 13 dicembre la SOGIN, compagnia dello Stato responsabile dello smantellamento degli impianti nucleari e della gestione e messa in sicurezza dei rifiuti radioattivi, ha confermato di essere caduta vittima di un attacco informatico risalente al giorno precedente. Sempre il 12 dicembre, i dati della compagnia (800 GB) erano già stati messi in vendita su un noto forum underground.
Sullo stesso forum sono stati messi in vendita anche accessi SQL injection relativi all’infrastruttura di Tiscali.
A proposito del giorno 13 del mese, il Conti Team ha colpito il Gruppo Comerio Ercole S.p.A., con sede a Busto Arsizio (VA) e attivo nel settore metalmeccanico.
Nel frattempo, hanno continuato ad imperversare FormBook con e-mail sul tema delle prenotazioni alberghiere, LokiBot distribuito via GuLoader, Agent Tesla veicolato da messaggi con doppio allegato e Ursnif che si cela dietro la solita comunicazione BRT.

Novità continuano a provenire dal settore delle campagne a fini estorsivi.
Il gruppo Karakurt – che esfiltra dati senza far uso di ransomware – tra settembre e novembre 2021 ha rivendicato oltre 40 azioni contro realtà di numerosi settori, fra cui quelli dei servizi professionali, della sanità, tecnologico, delle rivendite, manifatturiero, dei media, dell’energia e turistico.
Fa uso di un ransowmare, invece, il nuovo ALPHV Team (alias BlackCat Team). La minaccia (chiamata anche Noberus) è scritta in Rust e cifra i file con una combinazione di AES128-CTR e RSA-2048. Fra i Paesi più colpiti vi sono Stati Uniti, Australia e India. Le richieste di riscatto vanno da 400.000 a 3 milioni di dollari pagabili in bitcoin o Monero.
Per quanto riguarda il Vice Team invece, gli analisti avevano ricostruito un vasto panorama di attività, associandolo al ransomware HelloKitty. Solo ora, però, si scopre per vie indirette che questo avversario potrebbe operare dall’Ucraina. Ne avrebbe rivelato inavvertitamente la nazionalità una delle vittime, riferendo dati provenienti dall’FBI in un comunicato stampa.

In ambito squisitamente APT sono state descritte diverse campagne.
Nel contesto francese, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ha tracciato numerose operazioni riconducibili ad APT31, basate sulla nuova backdoor Pakdoor e mirate contro diverse entità nazionali.
Il nordcoreano Lazarus ha sfruttato il loader PseudoManuscrypt in una campagna non particolarmente mirata e a vasto raggio, tracciata fra gennaio e novembre 2021.
Il cinese Pirate Panda ha preso di mira società e agenzie governative legate al settore dei trasporti dispiegando un vasto arsenale composto da tool come ChiserClient, HTShell, Lilith RAT e SmileSvr.
Target dello stesso settore sono stati raggiunti dal malware Owowa, un modulo IIS capace di esfiltrare credenziali ed eseguire codice da remoto attraverso OWA (Outlook Web App). Sono state segnalate infezioni in Mongolia, Malesia, Indonesia e Filippine, ma non si escludono casi anche in Europa. Il mandante resta però ignoto.
Infine, l’iraniano MuddyWater ha messo a segno due operazioni. In un caso le vittime sono state aziende di telecomunicazioni in Medio Oriente e Asia, nell’altro è stata colpita una compagnia aerea asiatica con la backdoor Aclip.

Chiudiamo con altre notizie riguardanti vulnerabilità sfruttate e corrette.
Il Patch Tuesday di Microsoft ha risolto anche CVE-2021-43890, una falla già sfruttata per distribuire malware come Emotet, TrickBot, BazarLoader.
Google, dal canto suo, ha corretto la 0-day CVE-2021-4102 di Chrome desktop, già sfruttata ITW.

[post_tags]