Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Fortinet: exploit ITW e PoC pubblica per la CVE-2021-4034
  • Microsoft: Patch Tuesday corregge un bug già sfruttato
  • KillNet: nuove azioni per il collettivo filorusso
  • APT: novità dal fronte cinese
  • Alchimist: individuato framework C2

Questa settimana sono emerse novità interessanti dal versante vulnerabilità.
La grave Authentican Bypass CVE-2022-40684 di FortiOS, FortiProxy e FortiSwitchManager, per la quale Fortinet aveva sollecitato a scaricare la patch già la scorsa settimana, è risultata sfruttata in attacchi reali. Inoltre, ricercatori di sicurezza hanno rilasciato una PoC dell’exploit.
Martedì, come di consueto, è stato pubblicato il Patch Tuesday di Microsoft che segnala anche un bug già sfruttato ITW. Tracciato come CVE-2022-41033, è un Elevation of Privilege che potrebbe essere alla base di campagne di social engineering.

Non rallenta l’attività del collettivo hacktivista russo KillNet. Il 10 ottobre è stata rivendicata una massiccia offensiva contro i portali di diversi aeroporti statunitensi, fra cui in particolare quello dell’Aeroporto Internazionale di Chicago-O’Hare. Il giorno seguente è stata la volta della J.P. Morgan: gli avversari, in un comunicato comparso sul canale Telegram ufficiale, hanno annunciato il blocco dell’intera infrastruttura di network del colosso bancario.

Nel panorama APT l’attenzione si sposta invece verso la Cina.
Alcuni ricercatori di sicurezza hanno ricostruito le TTP di un cluster denominato WI19 che ha colpito in maniera molto mirata il settore delle telecomunicazioni e provider di servizi IT in Medio Oriente e Asia. Questo avversario, che sembra focalizzato su attività di spionaggio e mostra interessanti connessioni con realtà già note come Operation Shadow Force, sfrutta la backdoor Maggie e il dumper ScreenCap.
Torna a colpire Budworm (Emissary Panda) che, oltre a concentrarsi su target in Asia, Medio Oriente ed Europa, ultimamente ha compromesso anche realtà con sede negli USA almeno in due occasioni.

Infine, è stato individuato un nuovo framework C2 chiamato Alchimist, implementato per colpire sistemi Windows, Linux e macOS. Il framework dispone di un’interfaccia web scritta in cinese semplificato e può compromettere completamente i sistemi target. Il relativo implant beacon multifunzione è chiamato Insekt RAT.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi