Weekly Threats N. 30 2022

29 Luglio 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Italia: segnalate due nuove offensive
APT: particolarmente attivo il nordcoreano ScarCruft
KNOTWEED: avversario austriaco utilizza 0-day per distribuire Subzero

Questa settimana nuove offensive hanno colpito il nostro Paese. Di particolare scalpore è stata la presunta compromissione dell’Agenzia delle Entrate annunciata dal LockBit Team e smentita da Sogei. Grazie agli accertamenti tecnici del caso, è stato possibile constatare che la violazione non riguardava i server dell’AdE, ma quelli della società GESIS S.R.L., uno studio di commercialisti di Agrate Brianza. Nelle prime ore del mattino di mercoledì 27 luglio, invece, la rete e i sistemi IT dei Comuni toscani dell’Unione di Comuni Valdarno e Valdisieve hanno subito un attacco informatico a causa del quale si sono verificati interruzioni e disservizi. L’Unione ha dichiarato che il sistema è stato cautelativamente spento e isolato dalla rete e che per le operazioni di ripristino verranno utilizzate le unità di backup.

Passando al panorama state-sponsored, si è rivelato particolarmente attivo il nordcoreano ScarCruft a cui sono state attribuite diverse campagne. La prima, denominata STIFF#BIZON, è un’operazione di spear phishing tuttora in corso basata sul malware KONNI e rivolta contro target di rilievo in diversi Paesi, tra cui Repubblica Ceca e Polonia. La seconda, invece, riguarda la distribuzione della backdoor Missim contro una società di manutenzione per basi militari. Infine, un’indagine ha portato alla luce un nuovo malware chiamato SHARPEXT utilizzato per oltre un anno dall’APT al fine di colpire organizzazioni negli Stati Uniti, in Europa e in Corea del Sud che si occupano di tematiche di interesse per il Governo di Pyongyang. Nello specifico, SHARPEXT è un’estensione del browser malevola progettata per esfiltrare i dati dall’account di posta elettronica della vittima direttamente durante la navigazione.

Infine, una nota azienda di informatica statunitense ha identificato con il nome KNOTWEED un avversario austriaco che ha colpito alcuni suoi clienti in Europa e America centrale. Il gruppo ha utilizzato diversi exploit 0-day di Windows e Adobe – tra cui uno per la CVE-2022-22047 recentemente patchata – in attacchi circoscritti e mirati per distribuire il proprio malware custom Subzero.

[post_tags]

CVE-2022-22047 KNOTWEED KONNI LockBit Team Missim ScarCruft SHARPEXT STIFF#BIZON Subzero

Contenuti correlati

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Operation Cronos colpisce duramente LockBit Team, senza riuscire a fermarlo

Fermato LockBit, individuato un presunto leak legato a Pechino e attività APT inedite, nuove offensive in Italia