Weekly Threats N. 33 2022

19 Agosto 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

KillNet: il collettivo prende di mira l’Estonia
APT: tracciate attività di gruppi russi e asiatici
Apple e Google: 0-day sfruttate ITW

Anche questa settimana continuano le offensive nell’ambito del conflitto russo-ucraino. Il gruppo filorusso KillNet è stato l’autore di una massiccia serie di attacchi informatici che ha interessato organizzazioni pubbliche e private estoni, mentre Gamaredon Group continua a bersagliare i sistemi dell’Ucraina.

Sempre dal panorama russo, i ricercatori di sicurezza hanno intercettato e interrotto operazioni rivolte contro individui e organizzazioni appartenenti a Paesi membri della NATO a opera di Callisto. L’avversario si è adoperato in campagne di social engineering prendendo di mira organizzazioni e persone d’interesse strategico. Dal canto suo, invece, APT29 continua le sue offensive contro gli utenti di Microsoft 365 attraverso nuove TTP.

Passando al versante asiatico, una nuova ondata della campagna Operation In(ter)ception a opera di Lazarus Group prende di mira ingegneri attraverso falsi annunci di lavoro per posizioni presso la società Coinbase. Inoltre, è stata attribuita a un gruppo state-sponsored cinese denominato RedAlpha una campagna pluriennale di furto di credenziali rivolta a organizzazioni umanitarie e governative e think tank. L’avversario è noto per colpire minoranze etniche e religiose, compresi individui e organizzazioni delle comunità tibetane, uigure e sostenitori del Falun Gong. Tuttavia, negli ultimi anni il gruppo ha mostrato un particolare interesse per le istituzioni, le entità politiche e i think tank di Taiwan.

Infine, nuove vulnerabilità sono emerse questa settimana. Apple e Google hanno rilasciato aggiornamenti per sanare tre 0-day sfruttate ITW. Le falle Apple tracciate con codice CVE-2022-32894 e CVE-2022-32893 sono di tipo out-of-bounds write e risiedono rispettivamente nel Kernel e nel componente Webkit, mentre il problema di sicurezza Google è identificato con codice CVE-2022-2856 e riguarda il browser Chrome.

[post_tags]

APT29 Callisto CVE-2022-2856 CVE-2022-32893 CVE-2022-32894 Gamaredon Group KillNet Lazarus Group Operation In(ter)ception RedAlpha

Contenuti correlati

Sferrate offensive in Italia, attività APT in Eurasia, avversari inediti colpiscono utenti Android in Africa e Sud Asia

Nuove vulnerabilità preoccupano gli esperti, tracciate offensive di APT asiatici, segnalati leak di AT&T e target italiani

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente