WEEKLY THREATS

Weekly Threats N. 36 2022

09 Settembre 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Ucraina: nuove offensive colpiscono il Paese
  • Iran: tracciati nuovi gruppi e operazioni
  • Cina: la NSA accusata di spionaggio informatico

Anche questa settimana sono state registrate nuove offensive a opera di gruppi filorussi. Il collettivo KillNet questa volta ha preso di mira alcuni portali giapponesi, tra cui quello del porto nipponico di Nagoya. Spostandoci sul fronte russo-ucraino, diversi attacchi DDoS hanno colpito il Paese e alcuni Stati suoi sostenitori. Le operazioni malevole si sono basate su una botnet di dispositivi infetti dal malware Bobik, venendo attribuiti a un collettivo hacktivista pro-Cremlino chiamato NoName057(16).

Rimanendo nel contesto ucraino, i Servizi di Sicurezza di Kiev (SBU) hanno interrotto le attività di due entità filorusse operanti nelle regioni di Kiev e Odessa che controllavano più di 7.000 bot su varie piattaforme. Gli account automatizzati diffondevano contenuti finalizzati a screditare le Forze Armate e la leadership politica del Paese, giustificare l’aggressione russa e destabilizzare nel complesso la situazione sociopolitica in Ucraina. Infine, sono state tracciate cinque diverse campagne condotte tra aprile e agosto 2022 dal cluster identificato come UAC-0098 (presumibilmente collegato a FIN6).

Passando al panorama esclusivamente state-sponsored, l’Iran questa settimana ha destato particolare attenzione. L’intero personale dell’Ambasciata della Repubblica Islamica è stato invitato a lasciare l’Albania in seguito all’attribuzione ad avversari iraniani dell’attacco informatico avvenuto il 15 luglio che ha preso di mira le infrastrutture governative del Paese. Inoltre, è stato individuato un nuovo avversario rinominato APT 42. Il gruppo sembra operare per conto del Corpo delle Guardie della Rivoluzione Islamica, conducendo operazioni di spionaggio contro individui e organizzazioni d’interesse strategico per l’Iran. In più, diverse campagne ransomware sono state attribuite a un avversario identificato come DEV-0270 e un nuovo malware, denominato CodeRAT, è stato utilizzato in una campagna rivolta contro i cittadini iraniani.
Dal quadrante Asiatico, Il National Computer Virus Emergency Response Center (CVERC) cinese ha accusato la National Security Agency (NSA) statunitense di aver violato la Northwestern Polytechnical University, un’università finanziata dal Governo di Pechino con programmi di ricerca aeronautica e spaziale situata nella città di Xi’an. Infine, è stato scoperto un gruppo di spionaggio identificato come Worok che almeno dalla fine del 2020 prende di mira aziende di alto profilo e Governi locali, localizzati soprattutto in Asia.

[post_tags]