Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Killnet e Anonymous Russia: colpiti portali moldavi e rumeni
  • APT: tracciati nuovi tool e attività
  • 0ktapus: prese di mira le credenziali Okta

Nella settimana che sta per concludersi si sono registrate nuove offensive a opera di gruppi appartenenti al panorama filorusso. In particolare, il collettivo KillNet ha rivolto la sua attenzione verso la Moldavia prendendo di mira diversi portali, tra cui quello dei Servizi Fiscali Elettronici del Paese. Anonymous Russia, invece, ha rivendicato un’offensiva contro diversi target finanziari rumeni.

Passando al versante propriamente state-sponsored, due nuovi tool sono emersi. Il primo, soprannominato MagicWeb, consente di manipolare le richieste trasmesse nei token generati da un server Active Directory Federated Services (AD FS) ed è stato attribuito al gruppo state-sponsored russo APT 29. Il secondo, collegato all’iraniano Charming Kitten, è stato denominato HYPERSCRAPE ed è utilizzato per rubare i dati degli utenti da account Gmail, Yahoo! e Outlook.
Inoltre, sono affiorati dettagli su diverse attività di portata internazionale. Il cluster di avversari di matrice cinese Axiom nel 2021 ha preso di mira almeno 80 organizzazioni distribuite geograficamente in tutto il mondo nell’ambito di quattro diverse campagne, violandone con successo almeno 13. Passando al Medio Oriente, un sospetto cluster iraniano, identificato come UNC3890, è stato collegato ad attacchi rivolti a organizzazioni israeliane del settore navale, governativo, energetico e sanitario, nell’ambito di un’operazione di spionaggio iniziata alla fine del 2020. In più, è stata tracciata un’offensiva a opera di un nuovo APT soprannominato MurenShark, volta a ottenere informazioni sul Combat Management System per sottomarini MÜREN – progetto nazionale turco – a cura del Consiglio di Ricerca Scientifico e Tecnologico della Turchia (TÜBİTAK).

Concludiamo con una notizia riguardante una vasta campagna di phishing denominata 0ktapus. Le operazioni hanno preso di mira credenziali Okta e codici 2FA, compromettendo oltre 130 organizzazioni in un sofisticato attacco attuato attraverso semplici kit di phishing. In totale, sono stati individuati oltre 160 domini coinvolti nelle attività malevole e utilizzati dagli avversari per colpire organizzazioni di diversi settori, in particolare fornitori di servizi IT e finanziari, di sviluppo software e cloud, situate principalmente negli Stati Uniti e in Canada. Tra i target compaiono: Klaviyo, Mailchimp, Twilio e Cloudflare.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi