Weekly Threats N. 34 2022

26 Agosto 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Killnet e Anonymous Russia: colpiti portali moldavi e rumeni
APT: tracciati nuovi tool e attività
0ktapus: prese di mira le credenziali Okta

Nella settimana che sta per concludersi si sono registrate nuove offensive a opera di gruppi appartenenti al panorama filorusso. In particolare, il collettivo KillNet ha rivolto la sua attenzione verso la Moldavia prendendo di mira diversi portali, tra cui quello dei Servizi Fiscali Elettronici del Paese. Anonymous Russia, invece, ha rivendicato un’offensiva contro diversi target finanziari rumeni.

Passando al versante propriamente state-sponsored, due nuovi tool sono emersi. Il primo, soprannominato MagicWeb, consente di manipolare le richieste trasmesse nei token generati da un server Active Directory Federated Services (AD FS) ed è stato attribuito al gruppo state-sponsored russo APT 29. Il secondo, collegato all’iraniano Charming Kitten, è stato denominato HYPERSCRAPE ed è utilizzato per rubare i dati degli utenti da account Gmail, Yahoo! e Outlook.
Inoltre, sono affiorati dettagli su diverse attività di portata internazionale. Il cluster di avversari di matrice cinese Axiom nel 2021 ha preso di mira almeno 80 organizzazioni distribuite geograficamente in tutto il mondo nell’ambito di quattro diverse campagne, violandone con successo almeno 13. Passando al Medio Oriente, un sospetto cluster iraniano, identificato come UNC3890, è stato collegato ad attacchi rivolti a organizzazioni israeliane del settore navale, governativo, energetico e sanitario, nell’ambito di un’operazione di spionaggio iniziata alla fine del 2020. In più, è stata tracciata un’offensiva a opera di un nuovo APT soprannominato MurenShark, volta a ottenere informazioni sul Combat Management System per sottomarini MÜREN – progetto nazionale turco – a cura del Consiglio di Ricerca Scientifico e Tecnologico della Turchia (TÜBİTAK).

Concludiamo con una notizia riguardante una vasta campagna di phishing denominata 0ktapus. Le operazioni hanno preso di mira credenziali Okta e codici 2FA, compromettendo oltre 130 organizzazioni in un sofisticato attacco attuato attraverso semplici kit di phishing. In totale, sono stati individuati oltre 160 domini coinvolti nelle attività malevole e utilizzati dagli avversari per colpire organizzazioni di diversi settori, in particolare fornitori di servizi IT e finanziari, di sviluppo software e cloud, situate principalmente negli Stati Uniti e in Canada. Tra i target compaiono: Klaviyo, Mailchimp, Twilio e Cloudflare.

[post_tags]

0ktapus Anonymous Russia APT 29 Axiom Charming Kitten HYPERSCRAPE KillNet MagicWeb MurenShark UNC3890

Contenuti correlati

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

Attacchi colpiscono la Francia, rivendicazioni ransomware e hacktiviste, attivi avversari cinesi, iraniani e nordcoreani

Malware inediti utilizzati contro entità ucraine, attività state-sponsored in Asia, le ultime sulle vulnerabilità Ivanti