Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • KillNet: nuovi target per il gruppo filorusso
  • Italia: attacchi ransomware colpisco il Paese
  • ATP: tracciate campagne a opera di DriftingCloud e Charming Kitten
  • Malware: novità dal panorama

Anche questa settimana continuano le offensive da parte del gruppo filorusso KillNet. Il collettivo ha rivendicato presunte azioni di attacco verso Banca d’Italia, in particolare relative all’accesso a SPID e CNS. Inoltre, ha pubblicato liste di target polacchi e italiani da colpire, tra questi Aruba, Lepida e Namirial.

Restando in tema target Italia nuove offensive ransomware colpiscono il nostro Paese. Tra le vittime figurano l’Università di Pisa, la società Gruppo Waste Italia S.p.A. e l’azienda RadiciGroup colpite rispettivamente da ALPHV Team, LockBit Team e BlackBasta. Si segnala, inoltre, una particolarità riguardo l’ALPHV Team che, in alcune operazioni in Oregon, ha portato l’estorsione a un nuovo livello consentendo ai clienti e ai dipendenti della vittima di verificare su un sito web ospitato sull’internet pubblico e indicizzabile dai motori di ricerca se i propri dati sono stati esfiltrati durante l’attacco.

Passando al versante prettamente state-sponsored, sono state rilevate due offensive in particolare. Per quanto riguarda la prima, si tratta di un sofisticato attacco, attribuibile a un gruppo APT cinese denominato DriftingCloud, nel quale è stato sfruttato un exploit zero-day per la CVE-2022-1040 per compromettere il Sophos Firewall di un’organizzazione target al fine d’implementare una webshell e lanciare attacchi contro il personale. Mentre la seconda riguarda un’operazione di spear phishing, attribuibile al gruppo state-sponsored iraniano Charming Kitten, rivolta contro individui israeliani e statunitensi di alto livello, tra cui l’ex Ministra degli Esteri e Vice Prima Ministra di Israele, Tzipi Livni.
Infine, sempre in ambito APT, è stato identificato un nuovo RAT precedentemente non documentato denominato PingPull utilizzato dal gruppo state-sponsored cinese GALLIUM.

Concludiamo con alcune novità dal panorama malware. È stato individuato un nuovo rootkit, denominato Syslogk, utilizzato negli attacchi per nascondere processi malevoli utilizzando magic packets appositamente realizzati per attivare o disattivare una backdoor dormiente nel dispositivo. Inoltre, sono stati individuati altri due loader noti come PureCrypter e IceXLoader e una variante di Hydra, trojan bancario per Android, è stata osservata mentre veniva distribuita tramite una falsa app sul Google Play Store. Infine, è stato tracciato un avversario, noto come SeaFlower, prendere di mira utenti Android e iOS nell’ambito di una vasta campagna che imita siti web ufficiali di wallet di criptovalute con l’intento di distribuire applicazioni trojanizzate che prosciugano i fondi delle vittime.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi