Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • KillNet: rivendicati attacchi DDoS contro siti lettoni, polacchi, cechi e rumeni
  • Ucraina: aggiornamenti sul fronte cyber
  • APT: tracciate attività in Asia e Medio Oriente
  • Vice Team: colpita l’Associazione Bancaria Italiana

Il protagonista assoluto dell’ultima settimana è stato il collettivo filorusso KillNet, nato nell’ambito del conflitto russo-ucraino. Il gruppo continua a colpire l’Europa rivendicando sui propri canali diversi attacchi DDoS contro siti istituzionali e privati lettoni, polacchi, cechi e rumeni. L’avversario sta inoltre svolgendo attività di discovery e relativa mappatura delle applicazioni e dei domini afferenti alla NATO, in ottica di promuovere offensive sia di tipo DDoS sia di altra natura.

Sempre a proposito del conflitto in atto, il CERT-UA ha ricevuto segnalazioni in merito alla distribuzione di e-mail malevole da parte del russo Lorec53 e del cluster UAC-0098, la cui attività si ritiene possa essere associata a quella del gruppo TrickBot. Nello specifico, nel caso di Lorec53 i messaggi sono volti a veicolare i malware GraphSteel e GrimPlant e risultano essere inviati dall’account compromesso di un dipendente di un ente statale ucraino.
Oltre a questo, il Team di Computer Emergency Response di Kiev, in collaborazione con la Banca Nazionale dell’Ucraina, sta indagando su attacchi DDoS in corso contro il portale istituzionale del Governo e diversi siti pro-Ucraina. Per eseguire tali offensive, avversari tuttora sconosciuti stanno compromettendo numerose pagine web e iniettando un codice JavaScript malevolo chiamato BrownFlood.

Passando al versante state-sponsored, si è registrato particolare fermento da parte degli APT di origine asiatica.
In Cina, Mustang Panda ha condotto una campagna di phishing volta a distribuire PlugX contro funzionari russi.
Quanto alla Corea del Nord, particolarmente attivi sono stati ScarCruft con il malware Goldbackdoor e Lazarus Group con diverse operazioni di phishing.
Spostandoci in Iran, invece, Rocket Kitten ha sfruttato attivamente la CVE-2022-22954 di VMware per ottenere l’accesso iniziale alle reti target e distribuire il framework di penetration testing Core Impact su sistemi vulnerabili.

Concludiamo con una notizia riguardante il nostro Paese.
L’operatore ransomware Vice Team ha rivendicato sul proprio sito dei leak la compromissione di ABI – Associazione Bancaria Italiana. Stando agli screenshot pubblicati online dal gruppo, i dati criptati contengono informazioni finanziarie sensibili e documenti riservati tra cui i numeri delle carte di credito, dati ISTAT, budget, polizze, contratti e dati del personale.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi