Weekly Threats N. 39 2022

30 Settembre 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Microsoft: scoperte due 0-day sfruttate ITW in Exchange
Ucraina: imminenti attacchi russi a Kiev e ai suoi alleati
Italia: individuati nuovi leak e offensive

Questa settimana tra le notizie di maggiore interesse spicca la scoperta di due vulnerabilità 0-day sfruttate ITW che impattano le versioni 2013, 2016 e 2019 di Microsoft Exchange Server. La prima falla, identificata con codice CVE-2022-41040, è di tipo Server-Side Request Forgery (SSRF), mentre la seconda, tracciata con codice CVE-2022-41082, consente l’esecuzione di codice remoto (RCE) tramite PowerShell. Molteplici segnalazioni indicano che le due vulnerabilità sono sfruttate in sequenza per compromettere Exchange; tuttavia, per sfruttare con successo una delle due sembra sia necessario un accesso autenticato al server vulnerabile.

Passando al contesto russo-ucraino, Kiev e i suoi alleati sono in massima allerta riguardo imminenti attacchi informatici da parte di Mosca alle loro infrastrutture critiche (soprattutto del settore energetico). Inoltre, Il Servizio di Sicurezza ucraino (SBU) ha smantellato un gruppo di criminali informatici di Leopoli che agiva negli interessi del Cremlino. Il collettivo ha violato 30 milioni di account di cittadini ucraini ed europei, ottenendo l’accesso alle loro informazioni personali per poi venderle in alcuni forum underground. I dati sono stati acquistati in massa da propagandisti pro-Cremlino, i quali li hanno successivamente utilizzati nel diffondere disinformazione e notizie false dal fronte per seminare il panico e creare destabilizzazione in diversi Paesi. Infine, recenti analisi hanno portato alla luce i collegamenti esistenti tra i canali Telegram di presunti hacktivisti come XakNet Team, Infoccentr e CyberArmyofRussia_Reborn e il Main Intelligence Directorate (GRU) russo. Questi canali Telegram sono stati utilizzati per pubblicare i data leak provenienti dai sistemi ucraini compromessi da gruppi state-sponsored russi (Sofacy e Sandworm).

In Italia, invece, è stato individuato un presunto leak di dati su Pastebin inerente a oltre 500 soggetti appartenenti al partito Fratelli d’Italia. In aggiunta, nella notte di mercoledì 28 settembre è stato rilevato un tentativo di accesso non autorizzato ai sistemi informatici di Alia Servizi Ambientali S.p.A. Si tratta del secondo attacco che, a distanza di nove mesi dal primo, ha colpito ancora una volta il gestore toscano. Da ultimo, è stato messo in vendita nell’underground un database della società italiana GenialMoney S.r.l. contenente 23.273 file per un totale di 68,2 GB di dati.

[post_tags]

CVE-2022-41040 CVE-2022-41082 CyberArmyofRussia_Reborn Infoccentr Sandworm Sofacy XakNet Team

Contenuti correlati

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Malware inediti utilizzati contro entità ucraine, attività state-sponsored in Asia, le ultime sulle vulnerabilità Ivanti