Weekly Threats N. 52 2021

31 Dicembre 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Log4j: individuata nuova vulnerabilità nella libreria di Apache
Log4Shell: emergono nuovi attacchi basati sulla vulnerabilità
Italia: cyberattacco contro l’Azienda Socio-Sanitaria Territoriale di Lecco
BRATA: il malware per Android sembra mirare al nostro Paese
Iran: il rootkit iLOBleed infetta dispositivi HP iLO e agisce anche da wiper
Radio Panda: l’APT cinese sfrutta Flagpro in Giappone
Equation Group: nuove indagini sul tool DanderSpritz
Rook: emerge un nuovo operatore ransomware
Avos Team: rilasciato decryptor gratuito per un’Agenzia governativa USA
Nuovo data breach per T-Mobile
Varie dal mondo cybercrime

Anche in questa ultima settimana dell’anno Apache Log4j è stata fra i protagonisti della scena.
L’Apache Software Foundation ha rilasciato la versione 2.17.1 della libreria per correggere una nuova vulnerabilità. Tracciata con codice CVE-2021-44832 (CVSS 6.6), impatta tutte le versioni dalla 2.0-alpha7 alla 2.17.0 (escluse la 2.3.2 e la 2.12.4) ed è di tipo RCE. Tuttavia, lo sfruttamento del bug richiede requisiti elevati e in ambienti reali l’operazione presenta concrete difficoltà.
Nel frattempo, continuano ad essere tracciati attacchi, sia di matrice state-sponsored che crime, basati sulla vulnerabilità Log4Shell.
L’APT cinese AQUATIC PANDA – precedentemente non documentato e attivo da maggio 2020 – ha cercato di sfruttare la CVE-2021-44228 per compromettere un’importante Istituzione accademica, con lo scopo di rubare informazioni in ambito industriale e militare. Il gruppo ha preso di mira un web server VMware Horizon Tomcat vulnerabile utilizzando presumibilmente una versione modificata dell’exploit Log4Shell pubblicato il 13 dicembre. I ricercatori hanno però segnalato il tentativo di intrusione all’organizzazione target, la quale ha tempestivamente applicato una patch all’applicazione e impedito ulteriori attività degli avversari sull’host.
La piattaforma vietnamita di crypto trading ONUS ha subito un attacco nel quale è stato coinvolto un server sandbox destinato allo sviluppo software. Fra l’11 e il 13 dicembre 2021 è stata sfruttata la falla Log4Shell per accedere a un server Cyclos (software di banking online di terze parti) e vi è stata installata la backdoor kworker, scritta in Golang 1.17.2 e realizzata per sistemi Linux x64. A causa di un problema di configurazione, il server conteneva informazioni che hanno permesso agli avversari di accedere al data storage system (Amazon S3) dell’azienda da cui sono stati esfiltrati i dati personali di un gran numero di utenti. Nella rivendicazione gli attaccanti hanno affermato di avere copie di 395 database table di ONUS, una parte delle quali sono state pubblicate su un forum underground.

Venendo al nostro Paese, uno dei target principali è stato il settore sanitario.
Nella notte tra lunedì 27 e martedì 28 dicembre è stato rilevato un attacco al sistema informatico dell’Azienda Socio-Sanitaria Territoriale di Lecco. L’offensiva ha messo fuori uso oltre il 50% dei server provocando disagi e ritardi nell’erogazione dei servizi negli ospedali di Lecco e Merate. Il 28 dicembre sono state segnalate problematiche relative alle prenotazioni e sono risultati bloccati il sistema vaccinale, quello dei tamponi e il pronto soccorso. Inoltre, gli ospedali Manzoni e Mandic sarebbero rimasti paralizzati per quasi dodici ore. I sistemi colpiti appartengono in parte alla rete interna dell’ospedale e in parte sono in private cloud erogato dai data center di Aria S.p.A, l’azienda per l’innovazione e gli acquisti della Regione Lombardia.
Sempre in tema sanitario, continua la vendita di falsi Green Pass in rete. I finanzieri del Nucleo di Polizia Economico-Finanziaria di Roma hanno individuato 8 canali pubblici (ora oscurati) e 9 profili privati preposti alla vendita di false Certificazioni verdi COVID-19. I Green Pass venivano forniti sia nel formato digitale che cartaceo, anche nella modalità Super Green Pass. Tutti i documenti sarebbero stati muniti di un QR Code idoneo a superare i controlli. Il prezzo variava tra i 100 e i 500 euro, in alcuni casi pagabili con cryptovalute.
A partire dal 6 dicembre 2021 è stata anche tracciata una campagna di distribuzione del malware per Android BRATA che sembra mirata contro utenti italiani. La minaccia si spaccia per una soluzione antivirus chiamata iSecurity.apk

Per quanto riguarda il panorama APT, sono disponibili aggiornamenti su vari fronti.
Ricercatori di sicurezza iraniani hanno individuato all’interno del firmware di alcuni dispositivi HP iLO un rootkit chiamato iLOBleed, unico nel suo genere, che sembra essere stato usato per cancellare dati dai server. Per evitare il rilevamento, l’avversario ha mascherato il rootkit da modulo per il firmware iLO stesso. Il malware, anche se può fornire il pieno controllo degli host infetti, è stato programmato per eliminare dati a intervalli regolari con lo scopo di non essere rintracciabile per lunghi periodi di tempo. Resta da appurare come la minaccia sia stata inizialmente distribuita. Le risorse necessarie all’esecuzione di questo attacco fanno ipotizzare un avversario di matrice governativa.
Il gruppo cinese Radio Panda (Black Tech) ha lanciato attacchi sfruttando il malware chiamato Flagpro attraverso campagne di spear-phishing. I casi osservati coprono i mesi da ottobre 2020 a luglio 2021, mentre le entità prese di mira sono localizzate in Giappone e sono attive nei settori della Difesa, dei media e delle comunicazioni.
Inoltre, alcune fonti investigative hanno riportato che l‘Ufficio di pubblica sicurezza del Dipartimento della Polizia metropolitana di Tokyo ha ottenuto un mandato d’arresto per un ex studente cinese in relazione ad un attacco informatico all’Agenzia spaziale giapponese (JAXA) che si ritiene essere collegato all‘Esercito cinese. L’uomo di 36 anni, identificato come Wang Jianbin, è sospettato di aver tentato di acquistare illegalmente – nel novembre 2016 – un software di sicurezza, disponibile solo per aziende giapponesi.
Infine, i tool dello statunitense Equation Group pubblicati nel 2017 dagli Shadow Borkers continuano ad essere oggetto di analisi. Fra le minacce presenti nel leak Lost in Traslation compariva il framework DanderSpritz, implementato per svolgere numerose attività come analizzare le vittime, sfruttare exploit di vulnerabilità, sottrarre dati. Alcuni ricercatori di sicurezza hanno ora fornito il dettaglio di tali funzionalità grazie alla descrizione del plugin centrale di DanderSpritz, chiamato DoubleFeature; questo si presenta come una dashboard basata su Python che funge anche da reporting utility per una vasta serie di ulteriori moduli.

Sempre dinamico è il mondo ransomware, nel quale questa settimana si è palesato un nuovo operatore chiamato Rook. Il gruppo ha adottato la tecnica della doppia estorsione e il 30 novembre ha pubblicato la sua prima rivendicazione. Nello specifico si è trattato di un attacco a Hcsbk, istituto finanziario kazako a totale partecipazione statale, al quale sarebbero stati sottratti oltre un terabyte di dati. La minaccia sfruttata sembra essere frutto del rilascio del codice sorgente di Babuk.
La società francese Inetum Group, che opera in più di 26 Paesi fornendo servizi digitali ad aziende appartenenti a diversi settori, ha confermato di aver subito un attacco ransomware il 19 dicembre 2021. In un comunicato ufficiale è stato specificato che l’attacco ha portato alla compromissione di alcune attività in Francia, senza impattare gli altri Paesi dove opera il Gruppo.
L’Avos Team ha deciso di rilasciare un decryptor gratuito dopo aver appreso che uno degli affiliati aveva violato i sistemi di un’Agenzia governativa statunitense. In novembre, un Dipartimento di Polizia negli Stati Uniti era stato colpito da un attacco ransomware firmato AvosLocker durante il quale sono stati criptati dispositivi ed esfiltrati dati. Il gruppo avrebbe appreso la notizia solo successivamente all’accaduto e si sarebbe comunque rifiutato di fornire l’elenco dei file rubati e le indicazioni su come sia avvenuta l’intrusione.

L’operatore di telefonia T-Mobile ha subito un nuovo data breach in data 23 dicembre 2021. Un piccolo numero di clienti avrebbe ricevuto una comunicazione ufficiale in merito ad attività non autorizzate sui loro account. Gli avversari avrebbero avuto accesso ad informazioni come intestatario del contratto, numero di telefono, numero di linee associate, numero di account di T-Mobile, piano di abbonamento e MRC; inoltre, le vittime potrebbero essere state soggette a SIM swap.
Infine, martedì 28 dicembre Amedia – la seconda più grande azienda di media in Norvegia – ha annunciato di aver chiuso diversi dei suoi sistemi centrali a causa di un attacco informatico. Secondo quanto riportato dal Vicepresidente esecutivo del dipartimento Tech & Data, Pål Nedregotten, nessun giornale cartaceo sarà pubblicato fino a quando la situazione non sarà risolta. L’offensiva ha avuto un impatto anche sui sistemi di pubblicità e abbonamento. Tuttavia, non è ancora chiaro se le informazioni personali degli abbonati e dei dipendenti siano state compromesse o utilizzate in modo improprio; qualora risultino compromesse, Amedia informerà gli interessati al più presto.

Concludiamo la nostra rassegna con alcune segnalazioni su campagne malware a livello globale.
In Brasile, un trojan bancario per Android è stato utilizzato per colpire gli utenti della banca brasiliana Itaú Unibanco. Gli avversari hanno creato un falso sito Google Play Store per il download di un APK malevolo chiamato sincronizador.apk che imita quello ufficiale di Itaú Unibanco. Una volta eseguita, l’utility tenta di aprire l’applicazione legittima della banca per eseguire transazioni finanziarie fraudolente modificando i campi di input dell’utente.
BLISTER è il nome attribuito a un nuovo loader utilizzato per eseguire in memoria payload di secondo livello, distribuito sfruttando dropper che lo scrivono sul disco facendo injection in librerie legittime come colorui.dll.
Attraverso il download di un torrent che avrebbe dovuto scaricare il nuovo film “Spider-Man: No Way Home”, è stato disseminato un miner fraudolento per la cryptovaluta Monero. La minaccia sfruttata a tale scopo è scritta in .NET, elude Windows Defender, si garantisce la persistenza, raccoglie informazioni di sistema tramite WMI, può scaricare file e distribuisce un processo watchdog per mantenere costante l’attività di mining. Il miner è una versione di SilentXMRMiner disponibile gratuitamente.
Infine, i ricercatori di sicurezza hanno individuato nuove TTP utilizzate nella campagna di cryptomining Autom attiva dal 2019 e ancora in corso. Anche se nel 2019 nelle prime fasi della campagna non venivano sfruttate particolari tecniche per nascondere l’attività di mining, con il passare del tempo si è verificata un’evoluzione delle capacità di elusione della detection tra cui la disabilitazione dei meccanismi di sicurezza (come UFW e NMI) e il recupero di uno script shell offuscato codificato cinque volte in Base64.

[post_tags]

AQUATIC PANDA Autom Avos Team Babuk BLISTER BRATA CVE-2021-44228 CVE-2021-44832 DanderSpritz DoubleFeature Equation Group Flagpro iLOBleed kworker Log4Shell Lost in Traslation Radio Panda Rook Shadow Borkers SilentXMRMiner

Contenuti correlati

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

I-Soon: leak della società fa luce sul cyberspionaggio “for hire” in Cina

Malware inediti utilizzati contro entità ucraine, attività state-sponsored in Asia, le ultime sulle vulnerabilità Ivanti