Weekly Threats N. 17 2022

29 Aprile 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

KillNet: rivendicati attacchi DDoS contro siti lettoni, polacchi, cechi e rumeni
Ucraina: aggiornamenti sul fronte cyber
APT: tracciate attività in Asia e Medio Oriente
Vice Team: colpita l’Associazione Bancaria Italiana

Il protagonista assoluto dell’ultima settimana è stato il collettivo filorusso KillNet, nato nell’ambito del conflitto russo-ucraino. Il gruppo continua a colpire l’Europa rivendicando sui propri canali diversi attacchi DDoS contro siti istituzionali e privati lettoni, polacchi, cechi e rumeni. L’avversario sta inoltre svolgendo attività di discovery e relativa mappatura delle applicazioni e dei domini afferenti alla NATO, in ottica di promuovere offensive sia di tipo DDoS sia di altra natura.

Sempre a proposito del conflitto in atto, il CERT-UA ha ricevuto segnalazioni in merito alla distribuzione di e-mail malevole da parte del russo Lorec53 e del cluster UAC-0098, la cui attività si ritiene possa essere associata a quella del gruppo TrickBot. Nello specifico, nel caso di Lorec53 i messaggi sono volti a veicolare i malware GraphSteel e GrimPlant e risultano essere inviati dall’account compromesso di un dipendente di un ente statale ucraino.
Oltre a questo, il Team di Computer Emergency Response di Kiev, in collaborazione con la Banca Nazionale dell’Ucraina, sta indagando su attacchi DDoS in corso contro il portale istituzionale del Governo e diversi siti pro-Ucraina. Per eseguire tali offensive, avversari tuttora sconosciuti stanno compromettendo numerose pagine web e iniettando un codice JavaScript malevolo chiamato BrownFlood.

Passando al versante state-sponsored, si è registrato particolare fermento da parte degli APT di origine asiatica.
In Cina, Mustang Panda ha condotto una campagna di phishing volta a distribuire PlugX contro funzionari russi.
Quanto alla Corea del Nord, particolarmente attivi sono stati ScarCruft con il malware Goldbackdoor e Lazarus Group con diverse operazioni di phishing.
Spostandoci in Iran, invece, Rocket Kitten ha sfruttato attivamente la CVE-2022-22954 di VMware per ottenere l’accesso iniziale alle reti target e distribuire il framework di penetration testing Core Impact su sistemi vulnerabili.

Concludiamo con una notizia riguardante il nostro Paese.
L’operatore ransomware Vice Team ha rivendicato sul proprio sito dei leak la compromissione di ABI – Associazione Bancaria Italiana. Stando agli screenshot pubblicati online dal gruppo, i dati criptati contengono informazioni finanziarie sensibili e documenti riservati tra cui i numeri delle carte di credito, dati ISTAT, budget, polizze, contratti e dati del personale.

[post_tags]

BrownFlood Core Impact CVE-2022-22954 Goldbackdoor GraphSteel GrimPlant KillNet Lazarus Group Lorec53 Mustang Panda PlugX Rocket Kitten ScarCruft TrickBot UAC-0098 Vice Team

Contenuti correlati

Nuove vulnerabilità preoccupano gli esperti, tracciate offensive di APT asiatici, segnalati leak di AT&T e target italiani

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

Attacchi colpiscono la Francia, rivendicazioni ransomware e hacktiviste, attivi avversari cinesi, iraniani e nordcoreani