Weekly Threats N. 1 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Italia: Ulss 6 e Gruppo Bricofer vittime del LockBit Team
• APT: attivi ScarCruft, SideCopy e il russo APT29
• Lapsus$ Group: colpito il gruppo portoghese Impresa
• CVE-2021-42392: scoperta nuova falla critica simile a Log4Shell
• Apple: scoperto il bug doorLock nel framework software HomeKit di iOS
• Violato il sito del quotidiano israeliano The Jerusalem Post
• Disinformazione: la Svezia lancia la Psychological Defence Agency

Questa settimana nel nostro Paese protagonista indiscusso è stato il LockBit Team.
In data 2 gennaio 2022, il gruppo ha rivendicato la compromissione della Ulss 6 Euganea, ovvero l’Unità locale Socio-Sanitaria di Padova. L’Azienda aveva annunciato di essere stata colpita nella notte fra il 2 e il 3 dicembre da un attacco informatico, ma solo nel nuovo anno si è venuti a conoscenza dell’utilizzo del ransomware Lockbit 2.0. Nel post pubblicato dall’operatore ransomware sul proprio sito dei leak si legge che tutti i dati saranno resi pubblici il 15 gennaio alle 16:44 (ora UTC). Tuttavia, al momento non sono ancora disponibili dettagli circa il materiale esfiltrato.
Sempre il LockBit Team il 5 gennaio 2022 ha aggiunto alla propria lista delle vittime anche il Gruppo Bricofer, azienda italiana leader nel settore del fai da te. Secondo quanto riportato sul blog, la pubblicazione dei dati avrà luogo l’8 gennaio per un totale di circa 2.000 file esfiltrati.
Rimanendo nel contesto nazionale, nella notte tra il 4 e il 5 gennaio 2022 il profilo Twitter della Regione Umbria ha subito una violazione. La foto profilo dell’Ente è stata sostituita per diverse ore dall’immagine del teschio di una scimmia apparentemente ispirata alle Bored Ape (letteralmente scimmie annoiate protagoniste di una collezione di opere d’arte digitali) e al mondo degli NFT (Non-Fungible Token), usati per certificare contenuti e creazioni artistiche computerizzate tramite blockchain. Oltre alla modifica della foto profilo, sono stati pubblicati anche una serie di post anomali, uno dei quali rimandava ad un evento programmato su Telegram. Nella tarda mattinata del 5, la Regione Umbria ha poi ripreso completamente il controllo del proprio account ripristinando la pagina Twitter. Al momento sono in corso tutto gli accertamenti e le valutazioni del caso.

Nel panorama state-sponsored spiccano attacchi di matrice nordcoreana, pakistana e russa.
ScarCruft ha preso di mira il settore diplomatico russo tramite e-mail di spear-phishing a tema festività di Capodanno 2022. Queste fingevano di provenire dall’Ambasciata russa in Serbia e miravano all’Ambasciata del Cremlino situata in Indonesia. In allegato presentavano un file ZIP malevolo che, una volta decompresso, rilasciava un downloader – un eseguibile Windows x32 pensato per assomigliare all’applicazione legittima di Windows scrnsave.scr – in grado di attivare una catena d’attacco composta da più fasi che ha consentito agli avversari di installare sui sistemi target una variante del malware KONNI come payload finale.
La campagna SideCopy – presumibilmente associabile all’APT Barmanou – continua ad essere attiva e a colpire entità governative critiche in India. Gli avversari hanno compromesso un portale nel quale hanno inserito una WebShell nominata WSO versione 4.2.5 che ha dato inizio alla catena d’infezione. A differenza delle precedenti operazioni, sono state osservate due diverse tipologie di trasmissione: una per sistemi Windows e l’altra per sistemi Unix-like. La prima si è basata su un documento Word, il quale ha sfruttato la tecnica della Remote Template Injection per scaricare il payload. La seconda, invece, viene avviata da un link che induce la vittima a scaricare un archivio contenente un falso file .lnk, necessario all’installazione di un tool di accesso remoto scritto in Python chiamato BackNet. I ricercatori hanno rilevato che il portale compromesso presentava directory aperte mal configurate che permettevano l’accesso a directory e file salvati dagli avversari, tra cui file PHP e ELF. L’analisi dei file di log generati dalle pagine PHP è stata in grado di identificare circa 400 IP unici, la maggior parte dei quali erano concentrati in India. Alcuni di questi IP sono stati attribuiti a organizzazioni governative e civili indiane tra cui: la M.P. Power Management Company Limited, la Power System Operation Corporation Limited, l’Inspector General of Police, il Chief of Naval Staff e la National Remote Sensing Agency.
APT29 (NOBELIUM) sembra essere l’autore di un’offensiva rivolta contro ambasciate iraniane e turche. A differenza degli attacchi di spear phishing del gruppo precedentemente descritti, i file ISO scaricati non contengono più una DLL malevola e un collegamento volto a lanciare proprio quel tipo di file. Ora il file ISO allegato all’e-mail incorpora semplicemente un file HTA malevolo – il dorpper EnvyScout – che nasconde elementi HTML contenenti due diversi valori di registro.

In campo ransomware il nuovo gruppo Lapsus$ Group ha colpito Impresa, il più grande conglomerato mediatico portoghese proprietario di SIC ed Expresso, rispettivamente una tra le più importanti emittenti televisive e uno tra i più venduti settimanali del Paese. La rivendicazione è avvenuta tramite la diffusione di una nota di riscatto sui siti compromessi. L’offensiva ha colpito l’infrastruttura IT dell’azienda mandando offline diversi siti web e tutti i canali TV di SIC, bloccandone anche le capacità di streaming. L’operatore ha anche affermato di aver ottenuto l’accesso all’account Amazon Web Services di Impresa. Già lo scorso dicembre, Lapsus$ Group è stato protagonista di un attacco al Ministero della Salute brasiliano che ha causato l’indisponibilità di milioni di certificati COVID-19 e la perdita di 50 TB di dati.
Lockis è il nome invece attribuito a una variante del ransomware GlobeImposter, osservata per la prima volta il 16 settembre 2021 e utilizzata dal gruppo TA505. Questa versione modificata è stata impiegata insieme a diverse utility e identificata in seguito ad un’analisi condotta intorno al mese di novembre 2021 su un sistema compromesso. Tra le utility individuate sono state tracciate: la versione russa di Processhacker.exe, un programma di controllo dei processi che può essere utilizzato per bypassare i software di sicurezza; la versione cinese di Netscan.Chs.exe, uno scanner di rete usato per analizzare i componenti ed individuare i target; dControl.exe, una utility di controllo di Windows Defender.

Passando all’ambito crime, è emerso un nuovo gruppo soprannominato Elephant Beetle che prende di mira organizzazioni appartenenti al settore finanziario e commerciale in America Latina. Esso opera secondo un preciso schema diviso in più fasi. In prima battuta, si concentra sullo sviluppo di capacità informatiche operative nella rete compromessa, studia il panorama digitale, distribuisce backdoor e, contemporaneamente, personalizza i propri tool. Successivamente, passa diversi mesi ad analizzare l’ambiente della vittima concentrandosi sulle operazioni finanziarie, identificando eventuali falle e osservando il software e l’infrastruttura target per comprendere i processi tecnici coinvolti nelle transazioni finanziarie legittime. Infine, il gruppo inietta numerose transazioni fraudolente nella rete fino a raggiungere l’importo di milioni di dollari. L’arsenale utilizzato comprende vulnerabilità note (CVE-2017-1000486, CVE-2015-7450, CVE-2010-5326 e EDB-ID-24963), uno scanner Java custom e due one-liner backdoor.

Dopo la scoperta di Log4Shell, una delle più gravi falle informatiche degli ultimi anni, sul versante vulnerabilità è apparso un nuovo bug critico molto simile che interesserebbe milioni di server sparsi in tutto il mondo. Tracciato con codice CVE-2021-42392, si tratta di un problema di sicurezza relativo alle console per database H2, anch’esse ampiamente usate nei server al pari della libreria Apache Log4j. La nuova vulnerabilità sfrutta il caricamento remoto di classi JNDI (Java Naming and Directory Interface), con gli URL controllati dagli avversari propagati nei JNDI lookup che possono consentire l’esecuzione di codice remoto non autenticato. In questo modo, gli avversari possono prendere il controllo esclusivo sul funzionamento dei sistemi di un’altra persona o organizzazione. Fortunatamente, prima di raggiungere livelli di gravità pari a quelli di Log4Shell, la vulnerabilità in questione è stata risolta con la versione 2.0.206 di H2 pubblicata il 5 gennaio 2022.

Fra i bollettini di sicurezza pubblicati negli ultimi giorni, spiccano quelli di Microsoft e Google.
Microsoft ha rilasciato una fix per risolvere un bug in Microsoft Exchange, soprannominato Y2K22, che ha bloccato l’invio delle e-mail a partire dal 1° gennaio 2022. Il problema è dovuto ad un errore di convalida della data in un file di firma utilizzato dal motore di scansione malware FIP-FS all’interno del server Exchange. Sono impattate le versioni on-premises di Exchange Server 2016 e di Exchange Server 2019, mentre i server Edge Transport non sono interessati.
Si segnala anche il rilascio di aggiornamenti Out-of-band (OOB) per risolvere un problema in Windows Server che affligge Windows Server 2019 e Windows Server 2012 R2. La falla potrebbe impedire l’uso di Desktop remoto per raggiungere il server, senza contare che potrebbe causare il verificarsi di una schermata nera, un accesso lento o un rallentamento generale che nel tempo causa il blocco del server.
Google, dal canto suo, ha rilasciato i bollettini di sicurezza mensili per Android e Pixel e la versione 97.0.4692.71 di Chrome desktop per Windows, MacOS e GNU/Linux che corregge 24 bug.
Ad essi si aggiungono advisory per prodotti e soluzioni Netgear e VMware.
Infine, i ricercatori di sicurezza hanno scoperto una vulnerabilità DoS, ribattezzata doorLock, nel framework software HomeKit di iOS (dalla versione 14.7 fino alla 15.2). Se sfruttata, consente di forzare i dispositivi Apple interessati a un arresto anomalo o a un ciclo infinito di riavvio nel momento in cui vengono connessi ad altri dispositivi compatibili mediante il software HomeKit rendendoli di fatto inutilizzabili. Per attivare doorLock è necessario cambiare il nome di un dispositivo HomeKit con una stringa di dimensioni superiore a 500.000 caratteri. La casa di Cupertino sarebbe a conoscenza del problema di sicurezza dal 10 agosto 2021; tuttavia, la falla resta tuttora irrisolta.

Concludiamo la nostra rassegna con alcune notizie dal mondo.
Il 3 gennaio 2022 il quotidiano israeliano di lingua inglese The Jerusalem Post ha confermato di aver subito un attacco informatico al proprio sito web da parte di criminali informatici filoiraniani. Non è chiaro se si tratti di individui realmente dell’Iran, sostenitori esterni al Paese o avversari state-sponsored. Il sito web, anziché visualizzare la home page, ha mostrato un’illustrazione che sembrava ricordare il generale iraniano Qassem Soleimani, assassinato esattamente due anni fa (3 gennaio 2020). L’immagine raffigurava un pugno che spara un oggetto, presumibilmente un proiettile o un missile balistico, da un anello con una pietra rossa su un edificio identificato come il modello dell’impianto nucleare israeliano di Dimona. L’anello è un apparente riferimento all’anello distintivo indossato da Soleimani. Inoltre, la figura era accompagnata da una frase scritta sia in lingua inglese sia ebraica che recitava: “Siamo vicini a te, dove meno te l’aspetti”.
In Svezia è nata la Psychological Defence Agency per la lotta alla disinformazione e alla propaganda estera. L’Agenzia pubblica governativa di difesa dalle Psychological Operations (PsyOps) conta un totale di 45 impiegati ed è divisa in tre reparti. Uno è dedicato alle operazioni di identificazione, analisi e risposta alle minacce di tipo informativo a 360 gradi, incluse campagne di influenza, di disinformation (la diffusione volontaria e dolosa di notizie false) e misinformation (la propagazione erronea e involontaria di contenuti non affidabili); un altro sarà impegnato nell’attività di capacity building, lo sviluppo nella società civile delle capacità di difesa dai rischi nel cosiddetto “dominio cognitivo”; un terzo a carattere prettamente amministrativo. A guida di questa nuova Agenzia svedese c’è il diplomatico Henrik Laderholm, già ambasciatore in Lettonia e negli Emirati Arabi Uniti.