Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • APT: fermento in Iran e Cina
  • Italia: violati i profili Twitter di MiTE e ISPI
  • Uber: compromessi i sistemi interni

Questa settimana si è registrato particolare fermento nel panorama state-sponsored. Dopo l’offensiva del 15 luglio, avversari legati a Teheran hanno sferrato un nuovo attacco al Governo albanese, questa volta contro il sistema governativo Total Information Management System (TIMS). Sempre sul fronte iraniano, APT affiliati al Corpo delle Guardie della Rivoluzione Islamica (IRGC) continuano a sfruttare diverse vulnerabilità note per ottenere l’accesso iniziale a reti di un’ampia gamma di entità target al fine di condurre attività di post-explotation, tra cui operazioni estorsive. Tali APT spesso operano sotto il controllo di due società, la Najee Technology e la Afkar System, le quali – insieme ad altri dieci individui – sono state sanzionate dall’OFAC del Dipartimento del Tesoro USA per il loro ruolo nella conduzione di attività informatiche malevole contro imprese e infrastrutture critiche in tutto il mondo. Infine, l’iraniano Charming Kitten ha iniziato ad utilizzare una tecnica di social engineering impersonation soprannominata Multi-Persona Impersonation (MPI).
Spostandoci in Cina, Mustang Panda ha preso di mira con il malware PlugX funzionari governativi di diversi Paesi in Europa, Medio Oriente e Sud America. Radio Panda, invece, ha colpito organizzazioni giapponesi sferrando un attacco basato sullo sfruttamento della CVE-2022-1388 di F5 BIG-IP e del malware per Linux Hipid. Inoltre, è stata tracciata una variante Linux della backdoor SideWalk, uno dei molteplici implant custom utilizzati dal cluster Axiom, oltre a tre versioni custom di tre vecchi RAT – Trochilus RAT, Gh0st RAT e Hydraq – attribuibili a un gruppo chiamato Webworm che sembrerebbe sovrapporsi all’APT di Pechino Space Pirates.

Per quanto riguarda il nostro Paese, si segnala la violazione dei profili Twitter del Ministero della Transizione Ecologica (MiTE) e dell’Istituto per gli studi di politica internazionale (ISPI). In entrambi i profili, oltre ad essere stata cambiata l’immagine con la fotografia del fondatore di Ethereum Vitalik Buterin, sono stati pubblicati tweet in cui si pubblicizzava un sito web che prometteva la distribuzione gratuita di criptovalute.

Concludiamo con la notizia di un grave attacco informatico che ha colpito la rete del gigante del ride hailing Uber. L’offensiva ha avuto inizio grazie alla compromissione dell’account di un dipendente e, stando alle schermate condivise, sembrerebbe che l’avversario sia riuscito ad ottenere un accesso completo a molti sistemi IT critici dell’azienda californiana.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi