Weekly Threats N. 21 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Ucraina: le ultime dal conflitto
• Russia: Mosca dietro a nuovi leak sulla Brexit
• APT: tracciate attività di gruppi cinesi
• Conti Team: rebranding della gang ransomware

Per quanto riguarda le attività nel dominio cibernetico nell’ambito del conflitto russo-ucraino, gli ultimi giorni sono stati segnati da offensive lanciate da un avversario statuale sconosciuto e dal gruppo hacktivista filorusso KillNet.
In particolare, dalla fine di febbraio 2022 sono state rilevate almeno quattro campagne di spear phishing contro entità governative russe condotte da un avversario APT non noto che però, guardando all’infrastruttura utilizzata, si presume possa essere di matrice cinese.
Quanto a KillNet, il collettivo ha dapprima pubblicato una lista di target riconducibili a siti di strutture portuali polacche alla quale, pochi giorni dopo, ha aggiunto il Sejm (la camera bassa del Parlamento) e alcuni organi giudiziari del Paese.

Cambiando tema ma parlando sempre di Mosca, un nuovo sito web che ha pubblicato le e-mail di alcuni dei principali sostenitori della Brexit sembra essere legato ad avversari russi (presumibilmente all’APT Callisto). Secondo quanto riportato sul portale, intitolato “Very English Coop d’Etat”, si ritiene che alcune personalità di spicco inglesi facciano parte di un gruppo di esponenti fortemente pro-Brexit che detta legge in segreto nel Regno Unito.

Quanto al panorama state-sponsored, si è registrato particolare fermento da parte di APT di matrice cinese.
Nello specifico, sono emersi nuovi dettagli in merito al collettivo Red Menshen, noto per colpire soprattutto Telco. Il collettivo è stato osservato prendere di mira sistemi Solaris tramite un codice exploit pubblicamente disponibile per un bug nel componente XScreenSaver tracciato con codice CVE-2019-3010.
Sempre un avversario cinese, al momento ancora sconosciuto, ha condotto una campagna di spear phishing chiamata Twisted Panda nella quale ha utilizzato esche legate alle sanzioni imposte a Mosca dall’Occidente per colpire almeno due istituti di ricerca russi operanti nel settore della Difesa, entrambi parte della Rostec Corporation.

Concludiamo con una notizia in ambito ransomware.
Dopo essersi schierato a favore di Mosca e aver attirato l’attenzione dei media e della Polizia, il famigerato Conti Team ha attuato una riorganizzazione interna sulla falsa riga di un vero e proprio rebranding. Dopo aver simulato la propria morte e risurrezione, il gruppo ha riattivato una serie di entità sussidiarie già sfruttate in passato ma mantenendo sempre la leadership centrale.