Weekly Threats N. 22 2022

03 Giugno 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

KillNet: nuove offensive colpiscono l’Italia
Vulnerabilità: tracciati 3 bug sfruttati ITW
Palermo: attacco informatico colpisce il Comune

Si intensificano le offensive verso l’Italia ad opera del gruppo russo KillNet. Il collettivo ha pubblicato sui propri canali Telegram più elenchi riguardanti target italiani: tra questi vi sono banche, infrastrutture portuali e aeroportuali e siti istituzionali. Tra quelli presi di mira vi è anche il portale istituzionale dello CSIRT. L’offensiva, con picchi rilevati di 40 Gbps, è iniziata nel tardo pomeriggio del 30 maggio ed è durata complessivamente circa 10 ore articolandosi in più fasi. Gli attacchi sono stati mitigati dai sistemi anti-DDoS senza riuscire a compromettere la disponibilità del sito web per gli utenti.

Passando al versante delle vulnerabilità, durante la settimana sono state identificati tre problemi di sicurezza sfruttati ITW. Il primo, rilevato sotto il nome di Follina e tracciato con codice CVE-2022-30190 (CVSS 7.8), consente l’esecuzione di codice nei prodotti Microsoft Office e sussiste quando MSDT viene richiamato utilizzando il protocollo URL da un’applicazione chiamante come Word. Tale bug è attivamente sfruttato da diversi avversari tra cui il gruppo state-sponsored cinese TA413 e, secondo quanto riportato dal CERT-UA, da un avversario al momento non noto in un’offensiva rivolta a organizzazioni governative di Kiev.
La seconda vulnerabilità critica, identificata con codice CVE-2022-29464 (CVSS 9.8), interessa diversi prodotti WSO2 ed è stata recentemente utilizzata al fine di veicolare un beacon Cobalt Strike compatibile con Linux e altri malware. Nel corso di recenti indagini sono state rilevate offensive volte a sfruttare tale vulnerabilità anche in Italia allo scopo di eseguire il miner Kinsing.
La terza, invece, è una 0-day critica che impatta i prodotti Confluence di Atlassian. Tracciata con codice CVE-2022-26134, è di tipo Unauthenticated Remote Code Execution ed è attualmente sfruttata da avversari di matrice presumibilmente cinese per installare web shell, tra cui Behinder e China Chopper.

Concludiamo con una notizia dal nostro Paese. Nelle prime ore del mattino di giovedì 2 giugno 2022 è stato rilevato un attacco al sistema informatico del Comune di Palermo che ha messo fuori uso anche le telecamere di videosorveglianza comunale. Al momento il sistema è stato cautelativamente spento e isolato dalla rete, di conseguenza i relativi servizi online sono attualmente indisponibili e potrebbero verificarsi disagi anche nei prossimi giorni.

[post_tags]

Behinder China Chopper Cobalt Strike CVE-2022-26134 CVE-2022-29464 CVE-2022-30190 Follina KillNet Kinsing TA413

Contenuti correlati

Gli hacktivisti filorussi: fronte comune, ma non troppo

Offensive nel conflitto russo-ucraino, campagne su larga scala ad opera di APT finanziati da Mosca, colpite Westpole e altre aziende italiane

Escalation in Medio Oriente, nuove rivelazioni su Intellexa e Predator, corrette 0-day sfruttate ITW