Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Ucraina: sventato attacco del russo Sandworm al settore energetico
  • INCONTROLLER/PIPEDREAM: nuovo toolset prende di mira dispositivi ICS
  • Le ultime dal panorama internazionale

Nella settimana appena conclusa il CERT-UA, in collaborazione con una nota azienda di sicurezza informatica, ha annunciato di aver rilevato e neutralizzato un attacco informatico mirato ad una società energetica ucraina attribuito al russo Sandworm. Nello specifico, l’APT ha cercato di distribuire il malware per ICS Industroyer2 e diverse famiglie di wiper per sistemi Windows, Linux e Solaris (tra cui CaddyWiper, Orcshred, Soloshred e Awfulshred) contro sottostazioni elettriche ad alta tensione in Ucraina.
Oltre a questo, sempre il Team di Computer Emergency Response di Kiev ha tracciato un’operazione di phishing tra i cittadini ucraini attribuita al cluster UAC-0041 e basata sui malware IcedID e GzipLoader, oltre ad aver rilevato lo sfruttamento da parte di UAC-0097 di exploit per la vulnerabilità XSS CVE-2018-6882 di Zimbra Collaboration Suite contro organizzazioni governative.

Sul versante state-sponsored, approfondendo i temi affrontati in un advisory congiunto di CISA, DOE, NSA e FBI, alcuni ricercatori hanno portato alla luce un toolset per gli ICS, tracciato come INCONTROLLER/PIPEDREAM. Il set include tre tool, TAGRUN, CODECALL e OMSHELL, progettati per prendere di mira i dispositivi di automazione delle macchine e molto probabilmente associati a un gruppo APT non ancora esplicitato.
Lazarus Group, invece, sta continuando le operazioni soprannominate Operation Dream Job e Operation Kitty Phishing prendendo di mira target sudcoreani con particolare interesse al settore chimico.
Quanto al cinese Hafnium, il collettivo sta distribuendo un nuovo malware chiamato Tarrask per garantirsi la persistenza sui sistemi Windows compromessi creando e nascondendo task schedulati.

Passando poi al panorama internazionale, sono diverse le novità degli ultimi sette giorni. Segnaliamo in primis lo smantellamento della botnet ZLoader, seguito dalla chiusura e dal sequestro dell’infrastruttura del forum underground RaidForums e, per chiudere, la presunta violazione con lo spyware Pegasus degli iPhone di diversi membri della Commissione Europea.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi