Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Ucraina: nuove offensive a opera dei russi KillNet e Lorec53
  • APT: tracciate diverse operazioni dal continente asiatico
  • Google: corretta una zero-day sfruttata ITW

Per quanto riguarda le attività cyber nell’ambito del conflitto russo-ucraino, gli ultimi giorni sono stati segnati da offensive russe del collettivo KillNet e del gruppo state-sponsored Lorec53. Nello specifico, il primo ha rivendicato attacchi contro il Congresso degli Stati Uniti, la società SwedishMetal e l’Istituto colombiano “Colegio Adventista Simón Bolívar”. Il secondo, invece, ha distribuito e-mail volte a veicolare Cobalt Strike contro organizzazioni statali di Kiev.

Passando al panorama propriamente state-sponsored, si segnalano operazioni da Pyongyang, Pechino, Nuova Delhi e Mosca.
Un advisory congiunto di FBI, CISA e Dipartimento del Tesoro USA ha fornito informazioni su un ransomware chiamato Maui, utilizzato almeno dal maggio 2021 da APT nordcoreani per colpire organizzazioni del settore sanitario. Sempre di matrice nordcoreana, ricercatori di sicurezza hanno descritto due malware, chiamati VSingle e YamaBot, utilizzati dal Lazarus Group.
Dal canto loro, avversari della Repubblica Popolare Cinese proseguono imperterriti a condurre operazioni di spionaggio contro organizzazioni russe tramite documenti malevoli creati con il builder Royal Road e utilizzati per distribuire malware custom sfruttando vulnerabilità note di Microsoft Office.
L’APT indiano Bitter, invece, continua a prendere di mira il Bangladesh – in particolare entità militari – con un attacco basato sulla distribuzione di un documento Excel armato con l’exploit per la CVE-2018-0798 di Equation Editor. Oltre a ciò, ricercatori hanno individuato un nuovo RAT del gruppo scritto in .NET e chiamato Almond RAT.
Infine, il russo APT 29 è stato osservato utilizzare il tool di red teaming Brute Ratel C4, progettato per eludere la detection da parte di EDR e AV.

Concludiamo con una zero-day sfruttata ITW corretta questa settimana da Google. Tracciata con codice CVE-2022-2294, la falla è di tipo Heap buffer overflow, risiede nel componente WebRTC e impatta Chrome per desktop e per Android e il canale Extended Stable per Windows e MacOS.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi