Weekly Threats N. 29 2022

22 Luglio 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Ucraina: sempre più fermento sul fronte cyber
Spyware: scoperte operazioni basate su Pegasus e DevilsTongue
LockBit Team: colpite le italiane Rovagnati e MWD.digital

Anche questa settimana non sono venute meno le offensive sul fronte cyber del conflitto russo-ucraino. Nello specifico, l’ultima operazione identificata è stata segnalata dal Servizio Speciale di Comunicazione Statale di Kiev e riguarda un attacco informatico che ha colpito alcune stazioni radio del Gruppo TAVR Media, finalizzato alla diffusione di fake news sulle condizioni di salute del Presidente Zelensky. Il Servizio di Sicurezza di Kiev, invece, ha scoperto alcuni indicatori di compromissione relativi a malware utilizzati contro reti informatiche del Paese, divulgati dal Cyber Command degli Stati Uniti con il quale l’entità ucraina collabora. Dal canto loro, oltre ad osservare continue attività malevole in Europa orientale (rispettivamente attribuibili ai russi Turla Group, Sofacy, Sandworm, FIN6, Callisto e Lorec53 e al bielorusso Ghostwriter), alcuni ricercatori di sicurezza hanno rilevato un attacco contro un’importante software house ucraina. Quest’ultimo si è basato su una versione leggermente modificata di una backdoor open-source chiamata GoMet. In aggiunta, il CERT-UA ha tracciato una campagna di distribuzione del malware Agent Tesla presumibilmente rivolta contro organizzazioni statali. Infine, il gruppo filorusso KillNet ha rivendicato due offensive contro due società statunitensi attive nei settori dell’ingegneria aerospaziale e della Difesa: Boeing e Lockheed Martin.

Soffermandoci sul versante state-sponsored, nuove indagini hanno portato alla luce operazioni di spionaggio condotte da clienti governativi delle israeliane NSO Group e Candiru, basate sui rispettivi spyware Pegasus e DevilsTongue.
Il primo è stato sfruttato fra ottobre 2020 e novembre 2021 per compromettere i dispositivi di almeno 30 membri della società civile thailandese, tra cui attivisti, accademici, avvocati e operatori di ONG. Il secondo, invece, è stato distribuito contro utenti localizzati in Medio Oriente di una nota software house di Praga tramite un exploit zero-day per la CVE-2022-2294 di Google Chrome.

Per concludere, passando al panorama ransomware, il LockBit Team ha rivendicato sul proprio sito dei leak la compromissione di due società italiane: la storica azienda specializzata nella produzione di salumi Rovagnati e l’impresa veronese MWD.digital.

[post_tags]

Agent Tesla Callisto Candiru CVE-2022-2294 DevilsTongue FIN6 Ghostwriter GoMet KillNet LockBit Team Lorec53 NSO Group Pegasus Sandworm Sofacy Turla Group

Contenuti correlati

Sferrate offensive in Italia, attività APT in Eurasia, avversari inediti colpiscono utenti Android in Africa e Sud Asia

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente