Weekly Threats N. 27 2022

08 Luglio 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Ucraina: nuove offensive a opera dei russi KillNet e Lorec53
APT: tracciate diverse operazioni dal continente asiatico
Google: corretta una zero-day sfruttata ITW

Per quanto riguarda le attività cyber nell’ambito del conflitto russo-ucraino, gli ultimi giorni sono stati segnati da offensive russe del collettivo KillNet e del gruppo state-sponsored Lorec53. Nello specifico, il primo ha rivendicato attacchi contro il Congresso degli Stati Uniti, la società SwedishMetal e l’Istituto colombiano “Colegio Adventista Simón Bolívar”. Il secondo, invece, ha distribuito e-mail volte a veicolare Cobalt Strike contro organizzazioni statali di Kiev.

Passando al panorama propriamente state-sponsored, si segnalano operazioni da Pyongyang, Pechino, Nuova Delhi e Mosca.
Un advisory congiunto di FBI, CISA e Dipartimento del Tesoro USA ha fornito informazioni su un ransomware chiamato Maui, utilizzato almeno dal maggio 2021 da APT nordcoreani per colpire organizzazioni del settore sanitario. Sempre di matrice nordcoreana, ricercatori di sicurezza hanno descritto due malware, chiamati VSingle e YamaBot, utilizzati dal Lazarus Group.
Dal canto loro, avversari della Repubblica Popolare Cinese proseguono imperterriti a condurre operazioni di spionaggio contro organizzazioni russe tramite documenti malevoli creati con il builder Royal Road e utilizzati per distribuire malware custom sfruttando vulnerabilità note di Microsoft Office.
L’APT indiano Bitter, invece, continua a prendere di mira il Bangladesh – in particolare entità militari – con un attacco basato sulla distribuzione di un documento Excel armato con l’exploit per la CVE-2018-0798 di Equation Editor. Oltre a ciò, ricercatori hanno individuato un nuovo RAT del gruppo scritto in .NET e chiamato Almond RAT.
Infine, il russo APT 29 è stato osservato utilizzare il tool di red teaming Brute Ratel C4, progettato per eludere la detection da parte di EDR e AV.

Concludiamo con una zero-day sfruttata ITW corretta questa settimana da Google. Tracciata con codice CVE-2022-2294, la falla è di tipo Heap buffer overflow, risiede nel componente WebRTC e impatta Chrome per desktop e per Android e il canale Extended Stable per Windows e MacOS.

[post_tags]

Almond RAT APT 29 BITTER Brute Ratel C4 Cobalt Strike CVE-2018-0798 CVE-2022-2294 KillNet Lazarus Group Lorec53 Maui Royal Road VSingle YamaBot

Contenuti correlati

Nuove vulnerabilità preoccupano gli esperti, tracciate offensive di APT asiatici, segnalati leak di AT&T e target italiani

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

Attacchi colpiscono la Francia, rivendicazioni ransomware e hacktiviste, attivi avversari cinesi, iraniani e nordcoreani