Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Ucraina: crescono le tensioni con la Russia
  • APT: tracciate numerose attività
  • Ransomware: segnalati diversi attacchi in Italia
  • Adobe e Google: corrette due zero-day sfruttate ITW

Si alza sempre di più la tensione per un ipotetico conflitto nell’Est Europa. Martedì 15 febbraio 2022, il Centro per le comunicazioni strategiche e la sicurezza delle informazioni dell’Ucraina ha confermato un attacco DDoS in corso contro diversi siti web, tra cui quelli del Ministero della Difesa, delle Forze Armate e di due delle principali banche statali, Oschadbank e Privatbank. A questi sembrerebbe essersi aggiunta anche un’offensiva contro i Servizi di Sicurezza del Paese (SBU).
Sempre nell’ambito della crisi russo-ucraina, emergono nuovi dettagli sulla serie di attacchi contro organizzazioni governative, militari e ONG ucraine. Le azioni malevole sembrerebbero parte di una campagna più ampia, in corso da alcuni mesi, attribuibile a un gruppo state-sponsored di probabile matrice russa chiamato Lorec53 che prende di mira dipendenti del Governo in Georgia e Ucraina.

Rimanendo sul versante state-sponsored, un alert congiunto di FBI, CISA e NSA informa sull’attività di avversari russi contro contractor della Difesa statunitensi volta all’esfiltrazione di informazioni sensibili e iniziata almeno nel gennaio 2020.
Spostandoci in Cina, si ritiene che il RAT ShadowPad sia legato a gruppi affiliati all’Agenzia di intelligence civile del Ministero della Sicurezza di Stato cinese (MSS) e all’Esercito Popolare di Liberazione (PLA), mentre Emissary Panda ha sfruttato ProxyLogon per svolgere attività mirate di spionaggio industriale.
In Iran, un avversario identificato come TunnelVision – forse riconducibile all’APT Charming Kitten – sta sfruttando attivamente Log4Shell per compromettere con un ransomware i server VMware Horizon sforniti di patch. Dal canto suo invece, il Moses Staff Team ha utilizzato una nuova backdoor contro alcune organizzazioni israeliane.
Infine, si sospetta che ci sia la mano di un collettivo state-sponsored dietro l’attacco informatico che ha causato un data breach ai danni del Comitato internazionale della Croce Rossa (CICR).

Venendo all’Italia, continuano le offensive ransomware. L’azienda genovese Wingsoft S.r.l., la trevigiana IDM S.r.l. e l’ENIT – Agenzia Nazionale del Turismo sono le ultime vittime del LockBit Team. In parallelo, il Conti Team ha annunciato la compromissione della CIAM S.p.A., mentre l’ALPHV Team ha colpito la S.p.A. L’Eco della Stampa.

Concludiamo la nostra rassegna con due vulnerabilità zero-day sfruttate ITW.
La prima – CVE-2022-24086 – è di tipo Improper Input Validation e affligge Adobe Commerce e Magento Open Source. La seconda – CVE-2022-0609 – è etichettata come Use after free e risiede nel componente Animation di Chrome desktop per Windows, MacOS e GNU/Linux.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi