Weekly Threats N. 7 2022

18 Febbraio 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Ucraina: crescono le tensioni con la Russia
APT: tracciate numerose attività
Ransomware: segnalati diversi attacchi in Italia
Adobe e Google: corrette due zero-day sfruttate ITW

Si alza sempre di più la tensione per un ipotetico conflitto nell’Est Europa. Martedì 15 febbraio 2022, il Centro per le comunicazioni strategiche e la sicurezza delle informazioni dell’Ucraina ha confermato un attacco DDoS in corso contro diversi siti web, tra cui quelli del Ministero della Difesa, delle Forze Armate e di due delle principali banche statali, Oschadbank e Privatbank. A questi sembrerebbe essersi aggiunta anche un’offensiva contro i Servizi di Sicurezza del Paese (SBU).
Sempre nell’ambito della crisi russo-ucraina, emergono nuovi dettagli sulla serie di attacchi contro organizzazioni governative, militari e ONG ucraine. Le azioni malevole sembrerebbero parte di una campagna più ampia, in corso da alcuni mesi, attribuibile a un gruppo state-sponsored di probabile matrice russa chiamato Lorec53 che prende di mira dipendenti del Governo in Georgia e Ucraina.

Rimanendo sul versante state-sponsored, un alert congiunto di FBI, CISA e NSA informa sull’attività di avversari russi contro contractor della Difesa statunitensi volta all’esfiltrazione di informazioni sensibili e iniziata almeno nel gennaio 2020.
Spostandoci in Cina, si ritiene che il RAT ShadowPad sia legato a gruppi affiliati all’Agenzia di intelligence civile del Ministero della Sicurezza di Stato cinese (MSS) e all’Esercito Popolare di Liberazione (PLA), mentre Emissary Panda ha sfruttato ProxyLogon per svolgere attività mirate di spionaggio industriale.
In Iran, un avversario identificato come TunnelVision – forse riconducibile all’APT Charming Kitten – sta sfruttando attivamente Log4Shell per compromettere con un ransomware i server VMware Horizon sforniti di patch. Dal canto suo invece, il Moses Staff Team ha utilizzato una nuova backdoor contro alcune organizzazioni israeliane.
Infine, si sospetta che ci sia la mano di un collettivo state-sponsored dietro l’attacco informatico che ha causato un data breach ai danni del Comitato internazionale della Croce Rossa (CICR).

Venendo all’Italia, continuano le offensive ransomware. L’azienda genovese Wingsoft S.r.l., la trevigiana IDM S.r.l. e l’ENIT – Agenzia Nazionale del Turismo sono le ultime vittime del LockBit Team. In parallelo, il Conti Team ha annunciato la compromissione della CIAM S.p.A., mentre l’ALPHV Team ha colpito la S.p.A. L’Eco della Stampa.

Concludiamo la nostra rassegna con due vulnerabilità zero-day sfruttate ITW.
La prima – CVE-2022-24086 – è di tipo Improper Input Validation e affligge Adobe Commerce e Magento Open Source. La seconda – CVE-2022-0609 – è etichettata come Use after free e risiede nel componente Animation di Chrome desktop per Windows, MacOS e GNU/Linux.

[post_tags]

ALPHV Team Charming Kitten Conti Team CVE-2022-0609. CVE-2022-24086 Emissary panda LockBit Team Log4Shell Lorec53 Moses Staff Team ProxyLogon ShadowPad TunnelVision

Contenuti correlati

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Attacchi colpiscono la Francia, rivendicazioni ransomware e hacktiviste, attivi avversari cinesi, iraniani e nordcoreani

Operation Cronos colpisce duramente LockBit Team, senza riuscire a fermarlo