Weekly Threats N. 8 2022

25 Febbraio 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Ucraina: continuano gli attacchi nel dominio cyber
Anonymous: “dichiarata guerra” alla Russia
APT: identificati due nuovi malware
Ransomware: tracciate offensive firmate Cuba Team e LockBit Team

La settimana appena conclusa è stata profondamente segnata dall’invasione russa dell’Ucraina.
Nel dominio cyber continuano i DDoS ai siti istituzionali di Kiev, ai quali si sono aggiunte diverse offensive wiper, oltre a un attacco di phishing rivolto alla popolazione ucraina. Nello specifico, il wiper noto come HermeticWiper è stato distribuito in numerosi attacchi – in alcune dei quali è stato utilizzato come possibile esca o potenziale diversivo un ransomware – non solo contro target in Ucraina, ma anche in altri Paesi della regione. Il rilevamento di un’attività malevola potenzialmente correlata, iniziata già nel novembre 2021, sembra suggerire che le operazioni possano essere state in preparazione per qualche mese.
Si segnala inoltre l’individuazione di un servizio web malevolo, che apparentemente funge da C2, associato ai servizi di intelligence russi, in particolare al gruppo Lorec53, e presumibilmente legato ai recenti DDoS. Tale servizio è stato utilizzato anche in passati attacchi cyber legati agli interessi di Mosca e ha ospitato cloni malevoli – creati non prima del novembre 2021 – di un nutrito numero di siti del Governo di Kiev.
Nel frattempo, in Russia, l’NCCC creato dall’FSB ha emanato un alert sull’aumento dell’intensità delle offensive alle risorse IT russe, comprese le infrastrutture critiche informatiche (CII). Diversi siti istituzionali e governativi di Mosca sono risultati irraggiungibili; in particolare, gli attacchi ai portali di RT News, del Cremlino e della Duma sono stati rivendicati dal collettivo Anonymous, il quale ha apertamente “dichiarato guerra” alla Russia.

Sul versante state-sponsored sono state identificate due nuove minacce.
La prima è denominata Cyclops Blink ed è attribuita al collettivo russo Sandworm, legato al GRU. Questa minaccia è associata a una botnet su larga scala, attiva almeno da giugno 2019, che prende di mira firewall WatchGuard Firebox e altri dispositivi di rete SOHO.
La seconda è la backdoor Bvp47, appartenente al gruppo statunitense Equation Group.
Inoltre, sempre in campo APT, sono stati tracciati una serie di attacchi supply chain su larga scala contro il settore finanziario taiwanese attribuibili al cinese Stone Panda.

Concludiamo con alcune notizie dal panorama ransomware.
Il Cuba Team è stato osservato sfruttare vulnerabilità di Microsoft Exchange per distribuire l’omonima minaccia. Sempre la scorsa settimana, in Corea del Sud i ricercatori della Kookmin University hanno individuato un metodo di recupero dei file cifrati dal ransomware Hive.
Per quanto riguarda l’Italia, il LockBit Team ha colpito due nuove aziende: la Cooperativa Sociale San Vitale e lo studio Pertusi & Pastore Associati.

[post_tags]

Anonymous Bvp47 Cuba Team Cyclops Blink Equation Group HermeticWiper Hive LockBit Team Lorec53 Sandworm Stone Panda

Contenuti correlati

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Operation Cronos colpisce duramente LockBit Team, senza riuscire a fermarlo