Weekly Threats N. 28 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Ucraina: i russi KillNet e Lorec53 ancora all’attacco
• APT: fermento in Asia e Medio Oriente
• Italia: colpita la FEM e il gestore delle mense scolastiche di Padova

Anche questa settimana continuano le offensive da parte del collettivo russo KillNet e del gruppo state-sponsored Lorec53. Per quanto riguarda il primo, questa volta a essere presi di mira sono stati target lituani di vari settori e obiettivi polacchi collegati alle Forze di Polizia. Lorec53, invece, continua a colpire organizzazioni statali ucraine con Cobalt Strike. Nello specifico, Il CERT-UA ha tracciato una nuova campagna di phishing massiva condotta attraverso e-mail provenienti da indirizzi di posta elettronica compromessi di enti statali ucraini.
Inoltre, sempre nell’ambito del conflitto russo-ucraino, tra la metà di aprile e la metà di giugno 2022 i ricercatori di sicurezza hanno rilevato almeno sei campagne di phishing contro l’Ucraina condotte dal gruppo cybercriminale FIN6. Tali operazioni dimostrano come il collettivo abbia sistematicamente preso di mira il Paese dall’inizio dell’invasione russa.

Passando al versante prettamente state-sponsored, sono state rilevate diverse nuove attività.
Dal quadrante sud asiatico, un’operazione di spionaggio condotta dal gruppo indiano Sidewinder ha preso di mira il quartier generale dell’Aeronautica Militare Pakistana (Pakistan Air Force). Viceversa, è stata attribuita a Islamabad una nuova campagna di spear phishing dell’avversario Barmanou, basata sulla distribuzione di CrimsonRAT e rivolta contro il settore dell’istruzione in India. Inoltre, a partire dal 2021 un presunto avversario APT di matrice sud asiatica ha condotto una campagna di spear phishing contro Agenzie governative di Afghanistan, India, Italia, Polonia e Stati Uniti.
Soffermandoci ulteriormente sul continente asiatico (in particolare sul versante pacifico), è stata individuata una nuova campagna di distribuzione della backdoor Missim, principalmente utilizzata dal nordcoreano ScarCruft.
Spostandoci in Medio Oriente, il palestinese AridViper ha distribuito il malware QuasarRAT mascherato dall’app di messaggistica istantanea Threema contro target palestinesi, presumibilmente dei settori dell’istruzione e militare.
Infine, sono state individuate diverse campagne di phishing condotte da avversari allineati con i Governi di Cina, Corea del Nord, Iran e Turchia, le quali hanno preso di mira principalmente giornalisti e organizzazioni del settore dei media localizzati in larga parte negli Stati Uniti.

Concludiamo con due notizie riguardanti l’Italia. Nella notte tra giovedì 7 e venerdì 8 luglio 2022, la Fondazione Edmund Mach (FEM) ha subito un’offensiva che ha colpito le piattaforme tecnologiche e i sistemi informativi aziendali. Dal canto suo, la ditta Dussmann Service S.r.l – multinazionale tedesca aggiudicataria del servizio di ristorazione scolastica per la città di Padova – ha subito un attacco informatico che ha potenzialmente esposto a soggetti esterni non autorizzati dati personali relativi agli utenti del servizio di mensa scolastica.