WEEKLY THREATS

Weekly Threats N. 20 2022

20 Maggio 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Guerra in Ucraina: si intensifica il conflitto nel dominio cyber in Italia e in Europa
  • Corea del Nord: inviati migliaia di esperti IT nelle aziende di tutto il mondo
  • CISA: rilasciata direttiva di emergenza per prodotti VMware

Si intensificano le offensive nel dominio cyber legate alla guerra in Ucraina. Continuano gli attacchi in Italia e in Europa ad opera del gruppo russo KillNet. Il collettivo ha indicato sui propri canali Telegram un lungo elenco di target italiani riconducibili a diversi settori, tra cui quello governativo.
Sempre nell’ambito del conflitto, è stata individuata una nuova variante del ransomware Chaos che sembrerebbe schierarsi con Mosca seguendo le orme di gruppi come Conti e CoomingProject. Sono state segnalate, inoltre, una campagna – al momento non attribuibile – rivolta contro tedeschi in cerca d’informazioni sull’attuale situazione in Ucraina, e diverse operazioni di spear phishing attribuibili al russo APT29. Tra i target presi di mira negli ultimi mesi dall’avversario, figurano entità – principalmente dei settori governativo e degli Affari esteri – in Grecia, Italia, Turchia e Portogallo.

Restando nel panorama APT, il Dipartimento di Stato americano, il Dipartimento del Tesoro americano e l’FBI hanno rilasciato un advisory congiunto nel quale riferiscono che la Corea del Nord sta inviando migliaia di esperti IT nordcoreani in cerca di lavori freelance presso aziende in tutto il mondo per generare entrate da destinare al regime autoritario del Paese o per accedere alle reti aziendali. Inoltre, è stato rilevato un attacco attribuibile al nordcoreano Lazarus Group, nel quale ha sfruttato la vulnerabilità Log4Shell (CVE-2021-44228) per distribuire la backdoor NukeSped su server VMware Horizon non patchati.
Passando al quadrante mediorientale, è stata tracciata una serie di attacchi riconducibili a un gruppo iraniano chiamato COBALT MIRAGE – apparentemente collegato a Charming Kitten – che effettua, oltre a operazioni di spionaggio, anche attacchi ransomware. La maggior parte delle vittime individuate sono localizzate in Israele, Stati Uniti, Europa e Australia.

Concludiamo una direttiva di emergenza rilasciata dalla CISA.
L’Agenzia ha indicato alle Agenzie del Federal Civilian Executive Branch (FCEB) di aggiornare o rimuovere urgentemente i prodotti VMware dalle loro reti entro lunedì 23 maggio. La direttiva è stata emanata dopo che VMware ha pubblicato la patch per due nuove vulnerabilità tracciate con codice CVE-2022-22972 e CVE-2022-22973.

[post_tags]