WEEKLY THREATS

Weekly Threats N. 25 2022

24 Giugno 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • KillNet: continuano gli attacchi DDoS in Europa
  • Ucraina: sfruttata Follina per condurre offensive
  • APT: tracciate attività di gruppi cinesi e iraniani
  • Vice Team: colpito l’ospedale Macedonio Melloni

Nell’ultima settimana il gruppo filorusso KillNet ha continuato le sue attività DDoS pubblicando sul proprio canale Telegram diverse liste di target europei. Primi tra tutti figurano numerosi portali lituani, a seguire diversi siti polacchi, il portale dell’e-cabinet dello State Tax Service ucraino e, infine, quello del servizio Shell TapUp dell’azienda energetica internazionale Shell.

Sempre a proposito del conflitto russo-ucraino in atto, il CERT-UA ha rilevato due attacchi informatici entrambi basati sullo sfruttamento della vulnerabilità Follina (CVE-2022-30190). Il primo, attribuito al russo Sofacy, ha portato alla distribuzione del malware CredoMap. Il secondo, invece, è associato al cluster UAC-0098 e ha colpito infrastrutture critiche ucraine con Cobalt Strike.

Quanto al panorama state-sponsored, si segnalano operazioni da Pechino e Teheran.
Il cinese Pirate Panda ha utilizzato una nuova versione del trojan Yahoyah e un loader scritto in Nim chiamato Nimbda, contenente al suo interno un tool GUI in lingua cinese scritto in EPL, denominato SMS Bomber. Inoltre, sono emersi due strumenti precedentemente non documentati, identificati come Samurai backdoor e Ninja Trojan, associati ad un presunto APT cinese chiamato ToddyCat e responsabile di molteplici attacchi contro entità di alto profilo in Europa e Asia.
Infine, sempre ad avversari della Repubblica Popolare Cinese si addebitano diverse offensive contro organizzazioni russe del settore scientifico, tecnico e dell’aviazione, nonché contro Agenzie governative.
Passando all’iraniano MuddyWater, è stata identificata una campagna di lunga data – presumibilmente ancora attiva – rivolta contro diversi Paesi, tra cui Pakistan, Kazakistan, Armenia, Siria, Israele, Bahrein, Turchia, Sudafrica, Sudan e Argentina.

Concludiamo con una notizia in ambito ransomware. Due settimane dopo aver rivendicato l’offensiva al Comune di Palermo, il Vice Team ha ora annunciato sul proprio portale dei leak la compromissione dell’ospedale Macedonio Melloni di Milano pubblicando alcuni dati esfiltrati. Il Presidio Ospedaliero in questione fa parte dell’ASST Fatebenefratelli Sacco, azienda socio-sanitaria territoriale di Milano colpita da un attacco informatico lo scorso maggio.

[post_tags]