Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Iran: segnalate diverse operazioni di spionaggio
  • Prestige: nuovo ransomware colpisce in Ucraina e Polonia
  • KillNet: rivendicati attacchi DDoS contro il Governo bulgaro
  • OldGremlin: tracciata versione Linux di TinyCriptor
  • Microsoft: Azure Blob Storage espone migliaia di dati sensibili

Questa settimana l’Iran torna sotto i riflettori con alcune campagne di spionaggio. Alcuni ricercatori di sicurezza hanno identificato una nuova versione del malware Android FurBall utilizzato dall’APT Domestic Kitten in una vasta operazione rivolta contro i cittadini iraniani. Questi ultimi, in particolare i partecipanti alle proteste in atto nelle ultime settimane, sono stati target anche di una campagna basata su uno spyware Android open-source chiamato L3MON. Infine, un advisory dell’FBI mette in guardia sulle attività della società informatica iraniana Emennet Pasargad, alla quale sono stati ricondotti i gruppi false-flag Hackers of Savior e Deus. Almeno dal 2020, Emennet ha preso di mira principalmente entità localizzate in Israele con operazioni Hack-and-Leak volte a minare la fiducia del pubblico nella sicurezza del Paese.

Passando al contesto russo-ucraino, un nuovo ransomware chiamato Prestige – associato all’avversario DEV-0960 – è stato impiegato per colpire organizzazioni dei trasporti e industrie nel campo della logistica in Ucraina e Polonia. Sul versante hacktivista filorusso, invece, KillNet ha rivendicato offensive DDoS contro numerosi portali bulgari, tra cui quelli della Presidenza e dei Ministeri della Difesa, della Finanza, della Giustizia, della Salute e degli Interni. Il collettivo ha inoltre riportato sul proprio canale Telegram anche gli obiettivi bulgari di Anonymous Russia, quali aeroporti e popolari media.

Rimanendo in Russia, il team ransomware OldGremlin torna attivo in patria con la distribuzione della nuova variante Linux di TinyCriptor e TTP parzialmente rinnovate. Il collettivo si è fatto notare per la particolare selezione dei target e per la richiesta di ingenti riscatti.

Concludiamo con la scoperta di un Azure Blob Storage esterno al perimetro aziendale di Microsoft che ha potenzialmente esposto dati correlati alla società. Risulterebbero coinvolti documenti datati a partire dal 2017 all’agosto 2022 e relativi a migliaia di entità localizzate in 111 diversi Paesi. Fra di essi figurerebbero PoE (Proof-of-Execution) e SoW (Statement of Work), fatture, ordini, preventivi, listini di prezzi, strategie commerciali e dettagli dell’ecosistema di alcuni partner.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi