Weekly Threats N. 37 2022

16 Settembre 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

APT: fermento in Iran e Cina
Italia: violati i profili Twitter di MiTE e ISPI
Uber: compromessi i sistemi interni

Questa settimana si è registrato particolare fermento nel panorama state-sponsored. Dopo l’offensiva del 15 luglio, avversari legati a Teheran hanno sferrato un nuovo attacco al Governo albanese, questa volta contro il sistema governativo Total Information Management System (TIMS). Sempre sul fronte iraniano, APT affiliati al Corpo delle Guardie della Rivoluzione Islamica (IRGC) continuano a sfruttare diverse vulnerabilità note per ottenere l’accesso iniziale a reti di un’ampia gamma di entità target al fine di condurre attività di post-explotation, tra cui operazioni estorsive. Tali APT spesso operano sotto il controllo di due società, la Najee Technology e la Afkar System, le quali – insieme ad altri dieci individui – sono state sanzionate dall’OFAC del Dipartimento del Tesoro USA per il loro ruolo nella conduzione di attività informatiche malevole contro imprese e infrastrutture critiche in tutto il mondo. Infine, l’iraniano Charming Kitten ha iniziato ad utilizzare una tecnica di social engineering impersonation soprannominata Multi-Persona Impersonation (MPI).
Spostandoci in Cina, Mustang Panda ha preso di mira con il malware PlugX funzionari governativi di diversi Paesi in Europa, Medio Oriente e Sud America. Radio Panda, invece, ha colpito organizzazioni giapponesi sferrando un attacco basato sullo sfruttamento della CVE-2022-1388 di F5 BIG-IP e del malware per Linux Hipid. Inoltre, è stata tracciata una variante Linux della backdoor SideWalk, uno dei molteplici implant custom utilizzati dal cluster Axiom, oltre a tre versioni custom di tre vecchi RAT – Trochilus RAT, Gh0st RAT e Hydraq – attribuibili a un gruppo chiamato Webworm che sembrerebbe sovrapporsi all’APT di Pechino Space Pirates.

Per quanto riguarda il nostro Paese, si segnala la violazione dei profili Twitter del Ministero della Transizione Ecologica (MiTE) e dell’Istituto per gli studi di politica internazionale (ISPI). In entrambi i profili, oltre ad essere stata cambiata l’immagine con la fotografia del fondatore di Ethereum Vitalik Buterin, sono stati pubblicati tweet in cui si pubblicizzava un sito web che prometteva la distribuzione gratuita di criptovalute.

Concludiamo con la notizia di un grave attacco informatico che ha colpito la rete del gigante del ride hailing Uber. L’offensiva ha avuto inizio grazie alla compromissione dell’account di un dipendente e, stando alle schermate condivise, sembrerebbe che l’avversario sia riuscito ad ottenere un accesso completo a molti sistemi IT critici dell’azienda californiana.

[post_tags]

Afkar System Axiom Charming Kitten CVE-2022-1388 Gh0st RAT Hipid Hydraq Mustang Panda Najee Technology PlugX Radio Panda SideWalk Space Pirates Trochilus RAT Webworm

Contenuti correlati

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

Attacchi colpiscono la Francia, rivendicazioni ransomware e hacktiviste, attivi avversari cinesi, iraniani e nordcoreani

Italia nel mirino di diversi avversari, le ultime sulle 0-day di Ivanti, nuovi malware di Charming Kitten e Callisto