Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Microsoft: scoperte due 0-day sfruttate ITW in Exchange
  • Ucraina: imminenti attacchi russi a Kiev e ai suoi alleati
  • Italia: individuati nuovi leak e offensive

Questa settimana tra le notizie di maggiore interesse spicca la scoperta di due vulnerabilità 0-day sfruttate ITW che impattano le versioni 2013, 2016 e 2019 di Microsoft Exchange Server. La prima falla, identificata con codice CVE-2022-41040, è di tipo Server-Side Request Forgery (SSRF), mentre la seconda, tracciata con codice CVE-2022-41082, consente l’esecuzione di codice remoto (RCE) tramite PowerShell. Molteplici segnalazioni indicano che le due vulnerabilità sono sfruttate in sequenza per compromettere Exchange; tuttavia, per sfruttare con successo una delle due sembra sia necessario un accesso autenticato al server vulnerabile.

Passando al contesto russo-ucraino, Kiev e i suoi alleati sono in massima allerta riguardo imminenti attacchi informatici da parte di Mosca alle loro infrastrutture critiche (soprattutto del settore energetico). Inoltre, Il Servizio di Sicurezza ucraino (SBU) ha smantellato un gruppo di criminali informatici di Leopoli che agiva negli interessi del Cremlino. Il collettivo ha violato 30 milioni di account di cittadini ucraini ed europei, ottenendo l’accesso alle loro informazioni personali per poi venderle in alcuni forum underground. I dati sono stati acquistati in massa da propagandisti pro-Cremlino, i quali li hanno successivamente utilizzati nel diffondere disinformazione e notizie false dal fronte per seminare il panico e creare destabilizzazione in diversi Paesi. Infine, recenti analisi hanno portato alla luce i collegamenti esistenti tra i canali Telegram di presunti hacktivisti come XakNet Team, Infoccentr e CyberArmyofRussia_Reborn e il Main Intelligence Directorate (GRU) russo. Questi canali Telegram sono stati utilizzati per pubblicare i data leak provenienti dai sistemi ucraini compromessi da gruppi state-sponsored russi (Sofacy e Sandworm).

In Italia, invece, è stato individuato un presunto leak di dati su Pastebin inerente a oltre 500 soggetti appartenenti al partito Fratelli d’Italia. In aggiunta, nella notte di mercoledì 28 settembre è stato rilevato un tentativo di accesso non autorizzato ai sistemi informatici di Alia Servizi Ambientali S.p.A. Si tratta del secondo attacco che, a distanza di nove mesi dal primo, ha colpito ancora una volta il gestore toscano. Da ultimo, è stato messo in vendita nell’underground un database della società italiana GenialMoney S.r.l. contenente 23.273 file per un totale di 68,2 GB di dati.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi