Weekly Threats N. 14 2022

08 Aprile 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Ucraina: neutralizzati alcuni attacchi del russo Sofacy
DoJ: smantellata la botnet Cyclops Blink
APT: tracciate operazioni in Asia e Medio Oriente
Italia: rilevate minacce esterne sulla rete IT del Ministero della Transizione Ecologica

Durante la prima settimana di aprile, una nota azienda IT americana ha annunciato di aver neutralizzato alcuni attacchi del gruppo state-sponsored russo Sofacy (legato al GRU) contro target in Ucraina. L’operazione è stata autorizzata da un mandato giudiziario americano e ha permesso alla società di prendere il controllo di sette domini Internet che il russo stava utilizzando per condurre attacchi non solo contro target ucraini, ma anche statunitensi ed europei. Si ritiene che l’avversario stesse cercando di stabilire un accesso a lungo termine ai sistemi target, di fornire supporto tattico per l’invasione militare russa e di esfiltrare informazioni sensibili.
Inoltre, il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha annunciato di aver smantellato la botnet Cyclops Blink controllata da Sandworm, altro collettivo legato al GRU.

Per quanto riguarda il panorama state-sponsored, si è registrato particolare fermento da parte degli APT di origine asiatica. In Cina, Shell Crew ha sfruttato Log4Shell nei server VMware Horizon per distribuire un nuovo rootkit chiamato Fire Chili. Dal canto suo, Stone Panda è alle prese con un’ampia campagna di spionaggio mirata contro istituzioni e ONG legate a diversi Governi in tutto il mondo. Inoltre, un ulteriore gruppo identificato come TAG38 sta colpendo infrastrutture critiche del settore energetico indiano almeno da settembre 2021.
Spostandoci in Nord Corea, ricercatori di sicurezza hanno tracciato una versione malevola dell’applicazione DeFi Wallet distribuita da Lazarus Group.
Intanto in Medio Oriente una nuova campagna di spionaggio, attribuibile al gruppo palestinese AridViper, utilizza la tecnica del catfishing per colpire funzionari israeliani.

Concludiamo con alcune notizie riguardanti l’Italia. Il Ministro della Transizione Ecologica ha dichiarato in diretta su Rai Radio 1 che sono state rilevate minacce esterne nella rete informatica del dicastero e che per precauzione è stato sospeso il funzionamento di tutti i sistemi IT.
La Banca d’Italia, invece, ha rilasciato sul proprio sito una dichiarazione in merito alla notizia circolata martedì 5 aprile 2022 riguardante la presunta violazione dei suoi sistemi. Secondo quanto riferito non c’è stata alcuna violazione, ma un numero limitato di correntisti di CSR è stato vittima di una truffa telefonica.

[post_tags]

AridViper Cyclops Blink Fire Chili Lazarus Group Log4Shell Sandworm Shell Crew Sofacy Stone Panda TAG38

Contenuti correlati

Nuove vulnerabilità preoccupano gli esperti, tracciate offensive di APT asiatici, segnalati leak di AT&T e target italiani

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente