Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Ucraina: prosegue incessantemente la guerra cibernetica tra Kiev e Mosca
  • AcidRain: nuovo wiper utilizzato contro la rete satellitare KA-SAT di Viasat
  • Russia: probabile attacco all’Agenzia Federale per il Trasporto Aereo (Rosaviatsia)
  • Spring4Shell: scoperta una 0-day in Spring Core Java

Anche questa settimana prosegue incessantemente la guerra cibernetica tra Kiev e Mosca.
Descritta come il più grave attacco dall’inizio dell’invasione russa, un’offensiva ha colpito il provider Internet ucraino Ukrtelecom comportando l’interruzione dei servizi dell’azienda in tutto il Paese.
Quanto ai russi Gamaredon Group e Lorec53, questi gruppi continuano a prendere di mira organi statali e Autorità ucraine rispettivamente con le minacce PseudoSteel e GraphSteel e GrimPlant.
Dal canto suo, il cluster UAC-0041 ha condotto una campagna di phishing basata sul malware Mars Stealer contro cittadini ucraini e organizzazioni nazionali.
Oltre a ciò, numerosi APT di tutto il mondo stanno sfruttando come esca il conflitto per le proprie operazioni di phishing. Nello specifico, sono state individuate sei campagne attribuibili rispettivamente al cinese Curious Gorge, al russo Callisto, al bielorusso Ghostwriter, al colombiano El Machete, all’iraniano OilRig e all’indiano Sidewinder.
Infine, emergono nuovi dettagli in merito all’attacco multiforme che il 24 febbraio ha colpito la rete satellitare KA-SAT di Viasat. AcidRain è il nome del wiper utilizzato, che è sviluppato in ELF MIPS ed è progettato per cancellare modem e router.

Per quanto riguarda la Russia, l’Agenzia Federale per il Trasporto Aereo (Rosaviatsia) sembra essere stata colpita da una grave offensiva IT che avrebbe comportato la cancellazione e la perdita di 65 terabyte di dati. Pare infatti che nessun backup dei dati sia disponibile a causa della mancanza di fondi stanziati dal Ministero delle Finanze russo. Alcune fonti indicano come possibile responsabile Anonymous, tuttavia l’attacco non è ancora stato rivendicato.
Al contrario, invece, il collettivo hacktivista ha reclamato la compromissione di due società russe, MashOil e RostProekt, facendo trapelare online circa 112 GB di dati.

Concludiamo con una vulnerabilità 0-day sfruttata ITW.
Chiamata Spring4Shell, la CVE-2022-22965 risiede nel framework Spring Core Java e sfrutta l’injection di una classe java permettendo quindi a un avversario remoto non autenticato di poter eseguire codice arbitrario sul sistema target. La falla è stata scoperta successivamente all’individuazione di un’ulteriore vulnerabilità 0-day nel progetto Spring Cloud Function (SPEL), alla quale è stato assegnato il codice CVE-2022-22963.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi