Weekly Threats N. 41 2022

14 Ottobre 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Fortinet: exploit ITW e PoC pubblica per la CVE-2021-4034
Microsoft: Patch Tuesday corregge un bug già sfruttato
KillNet: nuove azioni per il collettivo filorusso
APT: novità dal fronte cinese
Alchimist: individuato framework C2

Questa settimana sono emerse novità interessanti dal versante vulnerabilità.
La grave Authentican Bypass CVE-2022-40684 di FortiOS, FortiProxy e FortiSwitchManager, per la quale Fortinet aveva sollecitato a scaricare la patch già la scorsa settimana, è risultata sfruttata in attacchi reali. Inoltre, ricercatori di sicurezza hanno rilasciato una PoC dell’exploit.
Martedì, come di consueto, è stato pubblicato il Patch Tuesday di Microsoft che segnala anche un bug già sfruttato ITW. Tracciato come CVE-2022-41033, è un Elevation of Privilege che potrebbe essere alla base di campagne di social engineering.

Non rallenta l’attività del collettivo hacktivista russo KillNet. Il 10 ottobre è stata rivendicata una massiccia offensiva contro i portali di diversi aeroporti statunitensi, fra cui in particolare quello dell’Aeroporto Internazionale di Chicago-O’Hare. Il giorno seguente è stata la volta della J.P. Morgan: gli avversari, in un comunicato comparso sul canale Telegram ufficiale, hanno annunciato il blocco dell’intera infrastruttura di network del colosso bancario.

Nel panorama APT l’attenzione si sposta invece verso la Cina.
Alcuni ricercatori di sicurezza hanno ricostruito le TTP di un cluster denominato WI19 che ha colpito in maniera molto mirata il settore delle telecomunicazioni e provider di servizi IT in Medio Oriente e Asia. Questo avversario, che sembra focalizzato su attività di spionaggio e mostra interessanti connessioni con realtà già note come Operation Shadow Force, sfrutta la backdoor Maggie e il dumper ScreenCap.
Torna a colpire Budworm (Emissary Panda) che, oltre a concentrarsi su target in Asia, Medio Oriente ed Europa, ultimamente ha compromesso anche realtà con sede negli USA almeno in due occasioni.

Infine, è stato individuato un nuovo framework C2 chiamato Alchimist, implementato per colpire sistemi Windows, Linux e macOS. Il framework dispone di un’interfaccia web scritta in cinese semplificato e può compromettere completamente i sistemi target. Il relativo implant beacon multifunzione è chiamato Insekt RAT.

[post_tags]

Alchimist CVE-2022-40684 CVE-2022-41033 Emissary panda Insekt RAT KillNet Maggie Operation Shadow Force ScreenCap WI19

Contenuti correlati

Gli hacktivisti filorussi: fronte comune, ma non troppo

Offensive nel conflitto russo-ucraino, campagne su larga scala ad opera di APT finanziati da Mosca, colpite Westpole e altre aziende italiane

Escalation in Medio Oriente, nuove rivelazioni su Intellexa e Predator, corrette 0-day sfruttate ITW