Weekly Threats N. 13 2022

01 Aprile 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Ucraina: prosegue incessantemente la guerra cibernetica tra Kiev e Mosca
AcidRain: nuovo wiper utilizzato contro la rete satellitare KA-SAT di Viasat
Russia: probabile attacco all’Agenzia Federale per il Trasporto Aereo (Rosaviatsia)
Spring4Shell: scoperta una 0-day in Spring Core Java

Anche questa settimana prosegue incessantemente la guerra cibernetica tra Kiev e Mosca.
Descritta come il più grave attacco dall’inizio dell’invasione russa, un’offensiva ha colpito il provider Internet ucraino Ukrtelecom comportando l’interruzione dei servizi dell’azienda in tutto il Paese.
Quanto ai russi Gamaredon Group e Lorec53, questi gruppi continuano a prendere di mira organi statali e Autorità ucraine rispettivamente con le minacce PseudoSteel e GraphSteel e GrimPlant.
Dal canto suo, il cluster UAC-0041 ha condotto una campagna di phishing basata sul malware Mars Stealer contro cittadini ucraini e organizzazioni nazionali.
Oltre a ciò, numerosi APT di tutto il mondo stanno sfruttando come esca il conflitto per le proprie operazioni di phishing. Nello specifico, sono state individuate sei campagne attribuibili rispettivamente al cinese Curious Gorge, al russo Callisto, al bielorusso Ghostwriter, al colombiano El Machete, all’iraniano OilRig e all’indiano Sidewinder.
Infine, emergono nuovi dettagli in merito all’attacco multiforme che il 24 febbraio ha colpito la rete satellitare KA-SAT di Viasat. AcidRain è il nome del wiper utilizzato, che è sviluppato in ELF MIPS ed è progettato per cancellare modem e router.

Per quanto riguarda la Russia, l’Agenzia Federale per il Trasporto Aereo (Rosaviatsia) sembra essere stata colpita da una grave offensiva IT che avrebbe comportato la cancellazione e la perdita di 65 terabyte di dati. Pare infatti che nessun backup dei dati sia disponibile a causa della mancanza di fondi stanziati dal Ministero delle Finanze russo. Alcune fonti indicano come possibile responsabile Anonymous, tuttavia l’attacco non è ancora stato rivendicato.
Al contrario, invece, il collettivo hacktivista ha reclamato la compromissione di due società russe, MashOil e RostProekt, facendo trapelare online circa 112 GB di dati.

Concludiamo con una vulnerabilità 0-day sfruttata ITW.
Chiamata Spring4Shell, la CVE-2022-22965 risiede nel framework Spring Core Java e sfrutta l’injection di una classe java permettendo quindi a un avversario remoto non autenticato di poter eseguire codice arbitrario sul sistema target. La falla è stata scoperta successivamente all’individuazione di un’ulteriore vulnerabilità 0-day nel progetto Spring Cloud Function (SPEL), alla quale è stato assegnato il codice CVE-2022-22963.

[post_tags]

AcidRain Anonymous Callisto Curious Gorge CVE-2022-22963 CVE-2022-22965 El Machete Gamaredon Group Ghostwriter GraphSteel GrimPlant Lorec53 Mars Stealer OilRig PseudoSteel Sidewinder Spring4Shell UAC-0041

Contenuti correlati

Sferrate offensive in Italia, attività APT in Eurasia, avversari inediti colpiscono utenti Android in Africa e Sud Asia

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

Le campagne filoiraniane in Albania contestano la presenza dei mujaheddin