Weekly Threats N. 51 2021

24 Dicembre 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Log4Shell: ancora sfruttata la vulnerabilità di Apache e nuovo aggiornamento di Log4j
Diverse campagne malevole raggiungono l’Italia
Everest Team: colpita la Speroni S.p.A. di Pavia
Clop Team: messi in vendita dati della Polizia britannica
Zoho: gruppi APT hanno sfruttato la 0-day CVE-2021-44515 di ManageEngine Desktop Central
Lazarus Group: identificate due minacce inedite
DarkWatchman: tracciato nuovo sofisticato RAT
NotLegit: scoperta vecchia falla in Microsoft Azure App Service
CAB-less 40444: nuovo exploit per il bug Microsoft CVE-2021-40444
Polonia: sfruttato Pegasus durante le Presidenziali del 2019

Anche questa settimana l’attenzione si è focalizzata sulle vulnerabilità di Apache Log4j e in particolare sulla RCE critica Log4Shell (CVE-2021-44228).
L’Apache Software Foundation ha rilasciato la versione 2.17.0 della libreria che corregge una terza vulnerabilità tracciata con codice CVE-2021-45105 (CVSS 7.5). Il bug impatta tutte le versioni dalla 2.0-beta9 alla 2.16.0 e può causare sul sistema un DoS (Denial of Service).
Ricercatori di sicurezza hanno inoltre individuato un potenziale nuovo vettore di attacco in Log4Shell che utilizza una connessione Javascript WebSocket per attivare l’RCE su applicazioni unpatched Log4j interne e localmente esposte.
Per quanto riguarda lo sfruttamento della falla, alcuni attacchi recentemente osservati utilizzano le API RMI anziché il servizio LDAP.
Inoltre, sono state segnalate offensive volte alla distribuzione di ransomware come TellYouThePass e Conti e di malware come Dridex e Meterpreter.
In Belgio, uno dei problemi di sicurezza di Apache Log4j sarebbe al centro anche di un attacco informatico al Ministero della Difesa che ne avrebbe paralizzato per diversi giorni alcune attività. Passando in Cina, il Ministero dell’Industria e dell’Information Technology (MIIT) avrebbe sospeso per sei mesi una partnership finalizzata alla condivisione di informazioni con Alibaba Cloud, sussidiaria del conglomerato di e-commerce Alibaba Group, a causa di una mancata segnalazione e risoluzione tempestiva di Log4Shell. Il Governo cinese avrebbe inoltre chiesto alle aziende statali di migrare i propri dati da operatori privati come Alibaba e Tencent a un sistema di cloud supportato dallo Stato entro il prossimo anno.
Nel frattempo, negli Stati Uniti, la CISA ha annunciato il rilascio di uno scanner per identificare i servizi web interessati da CVE-2021-44228 e CVE-2021-45046. Questo strumento consente ai team di sicurezza di eseguire la scansione degli host di rete per individuare un’eventuale esposizione alle vulnerabilità e i bypass del web application firewall (WAF) che possono consentire agli avversari di entrare nel sistema.

Nel nostro Paese continuano ad essere tracciate le consuete campagne di phishing. Una finta spedizione in giacenza sfrutta il logo Poste Italiane per effettuare una doppia truffa, mentre un’e-mail a tema “messaggi bloccati dal server” reindirizza la vittima a un link che porta a una generica pagina di login per l’esfiltrazione delle credenziali.

Il 20 dicembre è stato creato un dominio che imita quello del portale eCovid SINFONIA della Regione Campania per distribuire un malware sviluppato in Visual Basic 6 in grado di esfiltrare password, informazioni personali e finanziarie anche tramite l’acquisizione periodica della clipboard.
Sempre sul versante domestico, un attacco ransomware firmato dall’Everest Team ha colpito l’azienda italiana Speroni S.p.A., attiva nel campo internazionale della misura, preregistrazione e gestione di utensili. Il 22 dicembre il gruppo ha pubblicato sul proprio sito un avviso in cui vengono messi in vendita 850GB di dati.

Rimanendo in ambito degli attacchi ransomware, nelle ultime settimane Avos Team ha intensificato le attività adottando un particolare sistema per la disabilitazione dei prodotti di sicurezza degli endpoint target. Gli aggressori hanno avviato i computer presi di mira in Safe Mode, hanno poi installato AnyDesk ed eseguito il ransomware.
Il Clop Team (alias TA505) avrebbe messo in vendita sul dark web centinaia di dati esfiltrati alla Polizia britannica. Le informazioni sarebbero frutto di un data breach subito dalla società Dacoll che gestisce l’accesso al Police National Computer (PNC). Si ritiene che il gruppo abbia chiesto un riscatto a Dacoll e, in seguito al mancato pagamento, abbia pubblicato centinaia di file contenenti informazioni personali di 13 milioni di persone.

Quanto al panorama state-sponsored, l’FBI ha rilasciato un alert che conferma l’avvenuto sfruttamento da parte di gruppi APT della 0-day CVE-2021-44515 che impatta i server Zoho ManageEngine Desktop Central. Gli attacchi sono stati tracciati a partire dalla fine di ottobre 2021 e hanno visto l’utilizzo di una variante del dropper ShadowPad – scaricata da BITSAdmin – capace di iniettare codice con funzioni di RAT.
A partire da ottobre 2021, il pakistano Barmanou ha condotto una campagna mirata sfruttando il RAT Crimson per colpire realtà di livello nazionale correlate ad attività religiose e al settore della Difesa in India.
Lazarus Group ha utilizzato invece due minacce inedite identificate come TigerDownloader e TigerRAT in una serie di offensive volte a colpire entità in Corea del Sud. Entrambe presentano tre varianti. Per quanto riguarda TigerDownloader tutte condividono il 97% del codice, mentre quelle TigerRAT soltanto circa il 50%, anche se differiscono principalmente in termini di comandi C2.

Cambiando matrice, ma continuando a parlare di nuovi malware identificati, a fine novembre è apparso un RAT soprannominato DarkWatchman. Esso sembra essere distribuito in e-mail di spear-phishing da avversari di lingua russa contro aziende russe. È basato su JavaScript e usa un robusto Domain Generation Algorithm (DGA) per il C2. Inoltre, impiega metodi innovativi per la persistenza fileless, on-system activity e capacità dinamiche di run-time come l’autoaggiornamento e la ricompilazione. DarkWatchman rappresenta un’evoluzione nelle tecniche di malware fileless, poiché utilizza il registro per quasi tutta l’archiviazione temporanea e permanente, non scrive nulla sul disco, operando al di sotto o intorno alla soglia di rilevamento della maggior parte dei tool di sicurezza.

Sul versante vulnerabilità Microsoft risulta il vendor più sollecitato.
Una grave falla in Azure App Service soprannominata NotLegit, che sembrerebbe essere stata sfruttata ITW, ha portato all’esposizione di centinaia di repository di codice sorgente. Il bug – cui non è stato assegnato un codice CVE – è presente da settembre 2017, tuttavia è stato notificato a Microsoft il 7 ottobre 2021 e, ad oggi, risulta mitigato. Sono impattate tutte le applicazioni scritte in PHP, Node, Ruby e Python distribuite da settembre 2017 utilizzando Local Git o qualsiasi Git source dopo la creazione o la modifica di un file nell’application container. Le uniche applicazioni non interessate sono quelle IIS-based.
Si segnala anche il rilascio di una PoC dell’exploit per due vulnerabilità – CVE-2021-42287 e CVE-2021-42278 – già corrette nel Patch Tuesday di novembre. Se combinati tra loro, i bug possono creare un percorso diretto ad un utente Domain Admin in un ambiente Active Directory che non ha applicato i nuovi aggiornamenti. Questa attack chain consente agli aggressori di elevare facilmente i propri privilegi a quelli di un amministratore di dominio una volta compromesso un normale utente.
Infine, ricercatori di sicurezza hanno individuato un nuovo exploit, rinominato CAB-less 40444, che bypassa la patch Microsoft rilasciata a settembre per il problema di sicurezza critico CVE-2021-40444. L’exploit è stato utilizzato all’interno di una campagna di phishing nella quale gli avversari racchiudevano un maldoc in un archivio RAR appositamente predisposto per veicolare un malware appartenente alla famiglia FormBook.
Hanno poi segnalato e corretto bug nei propri prodotti e soluzioni: Apache, VMware, Mozilla, Siemens, SonicWall, Emerson e mySCADA.

Chiudiamo con una notizia riguardante l’israeliana NSO Group.
Secondo quanto riportato dall’agenzia Associated Press, il Governo polacco ha utilizzato lo spyware Pegasus contro tre figure di spicco del fronte dell’opposizione interna durante le elezioni presidenziali del 2019. Si tratta dell’avvocato Roman Giertych, del Pubblico Ministero Ewa Wrzosek e del Senatore Krzysztof Brejza. Giertych ha subito almeno 18 violazioni negli ultimi 4 mesi del 2019: la maggior parte degli attacchi contro di lui è avvenuta prima delle Parlamentari del 13 ottobre 2019. Ewa Wrzosek ha appreso di essere finita fra i target di Pegasus grazie ad uno degli avvisi che Apple ha inviato il mese scorso. Quanto a Brejza, il suo iPhone è stato violato 33 volte fra il 26 aprile e il 23 ottobre 2019.
Attività di monitoraggio governativo in Polonia erano state denunciate già nel novembre 2017, ma allora non erano emersi i nomi delle vittime. Nel 2019, l’emittente polacca indipendente TVN ha fornito prove che l’agenzia anticorruzione del Governo ha speso più di 8 milioni di dollari in spyware per telefoni. Un portavoce della sicurezza dello stato polacco, Stanislaw Zaryn, interpellato via e-mail, ha commentato le compromissioni spiegando che la Polonia avvia le attività di monitoraggio su autorizzazione del Tribunale.

[post_tags]

Avos Team Barmanou CAB-less 40444 Clop Team Conti Crimson RAT CVE-2021-40444 CVE-2021-42278 CVE-2021-42287 CVE-2021-44228 CVE-2021-44515 CVE-2021-45046 CVE-2021-45105 DarkWatchman Dridex Everest Team FormBook Lazarus Group Log4Shell Meterpreter NotLegit NSO Group Pegasus ShadowPad TellYouThePass TigerDownloader TigerRAT

Contenuti correlati

Nuove vulnerabilità preoccupano gli esperti, tracciate offensive di APT asiatici, segnalati leak di AT&T e target italiani

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Attacchi colpiscono la Francia, rivendicazioni ransomware e hacktiviste, attivi avversari cinesi, iraniani e nordcoreani