Weekly Threats N. 19 2022

13 Maggio 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

KillNet: rivendicate offensive DDoS contro Italia, Spagna, Polonia, Germania e Lettonia
Ucraina: restano alte le tensioni nel dominio cyber
F5 e Microsoft: corrette due 0-day sfruttate ITW

Nell’ultima settimana l’Italia è stata coinvolta nella guerra cibernetica in atto subendo una serie di offensive DDoS rivendicate dal gruppo russo KillNet. Tra i portali colpiti figurano quelli di enti istituzionali come il Senato, la Difesa, l’Istituto Superiore di Sanità e l’Automobile Club d’Italia, ma anche la Scuola Alti Studi Lucca, la piattaforma B2B Kompass e i portali Infomedix e GuidEdilizia. Secondo quanto riferito dal collettivo qualche ora dopo le rivendicazioni, gli attacchi condotti sono da intendersi come esercitazioni sul campo che lasceranno presto spazio alla vera e propria offensiva.
Tuttavia, le operazioni del gruppo non hanno coinvolto solo il nostro Paese, ma anche Spagna, Polonia, Germania e Lettonia – oltre al sito web del giornalista russo dissidente Alexander Nevzorov – colpendo target nei settori governativo, finanziario, Oil&Gas, delle telecomunicazioni, educativo, sanitario, dell’intrattenimento e manifatturiero.

Rimanendo nell’ambito del conflitto, le tensioni tra i due fronti continuano ad essere alte.
L’Unione Europea, il Regno Unito e gli Stati Uniti hanno formalmente accusato la Russia di aver condotto l’attacco alla rete satellitare KA-SAT di Viasat del febbraio scorso che ha facilitato l’invasione militare dell’Ucraina.
Dal canto suo, il CERT-UA ha ricevuto segnalazioni in merito alla distribuzione massiva di e-mail volte a veicolare il malware Jester Stealer e a una campagna basata sul malware GammaLoad attribuita al russo Gamaredon Group.
Infine, nella Giornata della Vittoria celebrata il 9 maggio, un attacco informatico (tuttora non rivendicato) ha colpito diversi canali televisivi russi mandando in onda un messaggio contro la guerra in corso. A finire nel mirino sono stati canali TV come Russia 1, Ntv Plus, Channel One e Pervyi Kanal.

Concludiamo con due vulnerabilità 0-day sfruttate ITW.
La prima – CVE-2022-1388 – è di tipo Missing Authentication for Critical Function e riguarda il componente iControl REST di Big-IP dell’americana F5 Networks. La seconda – CVE-2022-26925 – è etichettata come Windows LSA Spoofing e consente a un attaccante non autenticato di forzare un controller di dominio ad autenticarsi su un altro server utilizzando NTLM.

[post_tags]

CVE-2022-1388 CVE-2022-26925 Gamaredon Group GammaLoad Jester Stealer KillNet

Contenuti correlati

Sferrate offensive in Italia, attività APT in Eurasia, avversari inediti colpiscono utenti Android in Africa e Sud Asia

Gli hacktivisti filorussi: fronte comune, ma non troppo

Offensive nel conflitto russo-ucraino, campagne su larga scala ad opera di APT finanziati da Mosca, colpite Westpole e altre aziende italiane