Weekly Threats N. 40 2022

07 Ottobre 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Italia: emergono nuove vittime ransomware
ProxyNotShell: Microsoft aggiorna le mitigazioni
APT: novità dal versante asiatico
KillNet e Anonymous Russia: proseguono le operazioni hacktiviste

In un panorama ransomware che resta particolarmente attivo, questa settimana si segnalano nuove vittime italiane, fra cui il Gruppo Covisian, leader nei servizi di Business Process Outsourcing (BPO), e il Comune toscano di Rosignano Marittimo (LI).

Per quanto riguarda il tema vulnerabilità, invece, Microsoft ha rimesso mano alle mitigazioni delle due recenti 0-day di Exchange soprannominate ProxyNotShell (CVE-2022-41040 e CVE-2022-41082). Alcuni ricercatori di sicurezza hanno scoperto che queste potevano essere facilmente aggirate e tuttora si attendono patch ufficiali.

Passando al versante state-sponsored, la CISA ha pubblicato un advisory riguardo un’offensiva alla rete aziendale di un’organizzazione appartenente al settore della Difesa a opera di più APT. Gli avversari hanno mantenuto l’accesso ai sistemi per un lungo periodo di tempo, utilizzando il toolkit Impacket e il malware CovalentStealer per rubare dati sensibili. Inoltre, un ulteriore advisory congiunto delle Agenzie di Sicurezza statunitensi ha fornito la lista delle maggiori vulnerabilità che i collettivi di Pechino sfruttano attivamente dal 2020.
Sempre nel quadrante asiatico è stata individuata una campagna di spear phishing attribuibile al nordcoreano Lazarus Group. Nell’autunno del 2021 il team ha sfruttato un rootkit Windows, denominato FudModule, contro un dipendente di un’azienda aerospaziale nei Paesi Bassi e un giornalista politico in Belgio. La minaccia abusa di un driver hardware Dell nell’ambito di un attacco BYOVD. In aggiunta, è stato osservato un APT cinese sfruttare la CVE-2022-29464 che interessa i prodotti WSO2 per implementare il RAT modulare ShadowPad. Infine, il ransomware chiamato Cheerscrypt è stato attribuito al gruppo di matrice cinese Nightsky Team.

Concludiamo con nuove offensive di matrice hacktivista filorussa. Il collettivo KillNet ha rivendicato attacchi contro diversi target governativi statunitensi, tra cui tre riconducibili alla National Geospatial-Intelligence Agency (NGA), e contro alcuni siti appartenenti all’Organizzazione Europea per la Ricerca Nucleare (CERN). Dal canto suo, Anonymous Russia ha bersagliato svariati portali bancari polacchi e cechi.

[post_tags]

Anonymous Russia Cheerscrypt CovalentStealer CVE-2022-29464 CVE-2022-41040 CVE-2022-41082 FudModule Impacket KillNet Lazarus Group Nightsky Team ProxyNotShell ShadowPad

Contenuti correlati

Nuove vulnerabilità preoccupano gli esperti, tracciate offensive di APT asiatici, segnalati leak di AT&T e target italiani

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Attacchi colpiscono la Francia, rivendicazioni ransomware e hacktiviste, attivi avversari cinesi, iraniani e nordcoreani