WEEKLY THREATS

Weekly Threats N. 23 2022

10 Giugno 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Follina: diversi avversari sfruttano la vulnerabilità
  • APT: novità dalla Repubblica Popolare Cinese
  • Symbiote: nuovo malware per sistemi Linux
  • Vice Team: rivendicato l’attacco al Comune di Palermo

Anche questa settimana l’attenzione si è focalizzata sulla vulnerabilità Follina (CVE-2022-30190) di Microsoft Office.
Il gruppo state-sponsored cinese Leviathan ha sfruttato la falla per distribuire il malware AsyncRat contro target della Repubblica di Palau. Nel frattempo, un presunto avversario statuale sconosciuto ha utilizzato il bug in una campagna di phishing rivolta contro enti governativi in Europa e negli Stati Uniti. Dal canto suo, il cluster cybercriminale noto come TA570 ha invece sfruttato la CVE-2022-30190 in attacchi di phishing volti a veicolare il malware Qakbot.

Per quanto riguarda il versante state-sponsored, sono emerse novità riguardanti la Repubblica Popolare Cinese (RPC).
Un advisory congiunto di CISA, NSA e FBI ha descritto l’attività di gruppi cinesi che dal 2020 sfruttano vulnerabilità pubblicamente note per prendere di mira Telco e provider di servizi di rete (NSP) in tutto il mondo.
Sempre associato alla Cina, è stato portato alla luce un APT precedentemente non documentato chiamato Aoqin Dragon. Il gruppo opera almeno dal 2013 conducendo operazioni di spionaggio contro organizzazioni dei settori governativo, delle telecomunicazioni e dell’istruzione con sede nel Sudest Asiatico e in Australia. Nel suo arsenale figurano due backdoor, rispettivamente Mongall e Heyoka, che si presentano come DLL e vengono iniettate nella memoria per poi essere decriptate ed eseguite.

In ambito malware, invece, è stata identificata una nuova minaccia per sistemi Linux nota come Symbiote. Il software malevolo, rilevato per la prima volta a novembre 2021, sembra essere stato progettato per prendere di mira il settore finanziario in America Latina. Poiché opera come userland rootkit, il suo rilevamento può essere estremamente difficile.

Per concludere, passando al panorama ransomware, il Vice Team ha rivendicato sul proprio sito dei leak l’attacco che la scorsa settimana ha colpito il sistema informatico del Comune di Palermo, fissando inoltre un countdown per la pubblicazione dei dati.

[post_tags]