Weekly Threats N. 18 2022

06 Maggio 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

KillNet: continuano gli attacchi DDoS in Europa
Phishing: esche a tema conflitto russo-ucraino prendono di mira infrastrutture critiche
APT: tracciate nuove operazioni
Lombardia: colpite l’ASST Fatebenefratelli Sacco e l’ATS Insubria

Anche questa settimana proseguono le offensive DDoS in Europa a opera del gruppo filorusso KillNet contro i Paesi che sostengono l’Ucraina. Inoltre, dalla fine di marzo 2022, un numero sempre più elevato di campagne di phishing che utilizzano come esca messaggi sulla guerra hanno preso di mira infrastrutture critiche dei settori Oil&Gas, delle telecomunicazioni e manifatturiero. Nello specifico, nelle ultime settimane sono state individuate attività malevole attribuibili rispettivamente ai russi Sofacy, Turla Group e Callisto, al bielorusso Ghostwriter e al cinese Curious Gorge.

Sempre nel panorama state-sponsored, un nuovo gruppo, identificato con il nome UNC3524, sta prendendo di mira le caselle di posta elettronica di dirigenti e dipendenti che si occupano di sviluppo, fusioni, acquisizioni e grandi transazioni aziendali o che lavorano nei team di sicurezza informatica.

Continuando con gli avversari APT, sono state tracciate ulteriori attività malevole dalla Cina: una campagna rivolta al settore delle telecomunicazioni in tutta l’Asia attribuibile a un APT soprannominato Moshen Dragon, una campagna di spear phishing con target ancora ignoto associata al gruppo Naikon e una sofisticata campagna di spionaggio di lunga data (attiva almeno dal 2019) soprannominata Operation CuckooBees, attribuibile al cluster Axiom. Quest’ultimo avrebbe operato per anni inosservato prendendo di mira aziende del settore tecnologico e manifatturiero, principalmente in Asia orientale, Europa occidentale e Nord America, con l’obiettivo di rubare informazioni proprietarie e dati sensibili. Inoltre, è stata documentata e analizzata l’attività del gruppo ombrello TA410, presumibilmente legato a Stone Panda, noto soprattutto per prendere di mira organizzazioni del settore dei servizi pubblici negli Stati Uniti e realtà diplomatiche in Medio Oriente e Africa.

Concludiamo parlando della nostra penisola.
Il sistema sanitario lombardo è finito nel mirino di due attacchi informatici. Domenica 1° maggio è stato colpito l’intero sistema gestionale del pronto soccorso e il portale dell’ASST Fatebenefratelli Sacco. Nella mattinata di giovedì 5, invece, i tecnici dell’ATS Insubria hanno isolato la struttura informatica aziendale dalle reti esterne dopo aver rilevato un attacco ai sistemi, rendendo così il sito e i portali pubblici irraggiungibili fino al termine delle verifiche.

[post_tags]

APT29 Axiom Callisto Curious Gorge Ghostwriter KillNet LUNARREFLECTION Moshen Dragon Naikon Operation CuckooBees Sofacy SOLARDEFLECTION Stone Panda TA410 Turla Group UNC3524

Contenuti correlati

Sferrate offensive in Italia, attività APT in Eurasia, avversari inediti colpiscono utenti Android in Africa e Sud Asia

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente