Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Italia: emergono nuove vittime ransomware
  • ProxyNotShell: Microsoft aggiorna le mitigazioni
  • APT: novità dal versante asiatico
  • KillNet e Anonymous Russia: proseguono le operazioni hacktiviste

In un panorama ransomware che resta particolarmente attivo, questa settimana si segnalano nuove vittime italiane, fra cui il Gruppo Covisian, leader nei servizi di Business Process Outsourcing (BPO), e il Comune toscano di Rosignano Marittimo (LI).

Per quanto riguarda il tema vulnerabilità, invece, Microsoft ha rimesso mano alle mitigazioni delle due recenti 0-day di Exchange soprannominate ProxyNotShell (CVE-2022-41040 e CVE-2022-41082). Alcuni ricercatori di sicurezza hanno scoperto che queste potevano essere facilmente aggirate e tuttora si attendono patch ufficiali.

Passando al versante state-sponsored, la CISA ha pubblicato un advisory riguardo un’offensiva alla rete aziendale di un’organizzazione appartenente al settore della Difesa a opera di più APT. Gli avversari hanno mantenuto l’accesso ai sistemi per un lungo periodo di tempo, utilizzando il toolkit Impacket e il malware CovalentStealer per rubare dati sensibili. Inoltre, un ulteriore advisory congiunto delle Agenzie di Sicurezza statunitensi ha fornito la lista delle maggiori vulnerabilità che i collettivi di Pechino sfruttano attivamente dal 2020.
Sempre nel quadrante asiatico è stata individuata una campagna di spear phishing attribuibile al nordcoreano Lazarus Group. Nell’autunno del 2021 il team ha sfruttato un rootkit Windows, denominato FudModule, contro un dipendente di un’azienda aerospaziale nei Paesi Bassi e un giornalista politico in Belgio. La minaccia abusa di un driver hardware Dell nell’ambito di un attacco BYOVD. In aggiunta, è stato osservato un APT cinese sfruttare la CVE-2022-29464 che interessa i prodotti WSO2 per implementare il RAT modulare ShadowPad. Infine, il ransomware chiamato Cheerscrypt è stato attribuito al gruppo di matrice cinese Nightsky Team.

Concludiamo con nuove offensive di matrice hacktivista filorussa. Il collettivo KillNet ha rivendicato attacchi contro diversi target governativi statunitensi, tra cui tre riconducibili alla National Geospatial-Intelligence Agency (NGA), e contro alcuni siti appartenenti all’Organizzazione Europea per la Ricerca Nucleare (CERN). Dal canto suo, Anonymous Russia ha bersagliato svariati portali bancari polacchi e cechi.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi