Weekly Threats N. 42 2022

21 Ottobre 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Iran: segnalate diverse operazioni di spionaggio
Prestige: nuovo ransomware colpisce in Ucraina e Polonia
KillNet: rivendicati attacchi DDoS contro il Governo bulgaro
OldGremlin: tracciata versione Linux di TinyCriptor
Microsoft: Azure Blob Storage espone migliaia di dati sensibili

Questa settimana l’Iran torna sotto i riflettori con alcune campagne di spionaggio. Alcuni ricercatori di sicurezza hanno identificato una nuova versione del malware Android FurBall utilizzato dall’APT Domestic Kitten in una vasta operazione rivolta contro i cittadini iraniani. Questi ultimi, in particolare i partecipanti alle proteste in atto nelle ultime settimane, sono stati target anche di una campagna basata su uno spyware Android open-source chiamato L3MON. Infine, un advisory dell’FBI mette in guardia sulle attività della società informatica iraniana Emennet Pasargad, alla quale sono stati ricondotti i gruppi false-flag Hackers of Savior e Deus. Almeno dal 2020, Emennet ha preso di mira principalmente entità localizzate in Israele con operazioni Hack-and-Leak volte a minare la fiducia del pubblico nella sicurezza del Paese.

Passando al contesto russo-ucraino, un nuovo ransomware chiamato Prestige – associato all’avversario DEV-0960 – è stato impiegato per colpire organizzazioni dei trasporti e industrie nel campo della logistica in Ucraina e Polonia. Sul versante hacktivista filorusso, invece, KillNet ha rivendicato offensive DDoS contro numerosi portali bulgari, tra cui quelli della Presidenza e dei Ministeri della Difesa, della Finanza, della Giustizia, della Salute e degli Interni. Il collettivo ha inoltre riportato sul proprio canale Telegram anche gli obiettivi bulgari di Anonymous Russia, quali aeroporti e popolari media.

Rimanendo in Russia, il team ransomware OldGremlin torna attivo in patria con la distribuzione della nuova variante Linux di TinyCriptor e TTP parzialmente rinnovate. Il collettivo si è fatto notare per la particolare selezione dei target e per la richiesta di ingenti riscatti.

Concludiamo con la scoperta di un Azure Blob Storage esterno al perimetro aziendale di Microsoft che ha potenzialmente esposto dati correlati alla società. Risulterebbero coinvolti documenti datati a partire dal 2017 all’agosto 2022 e relativi a migliaia di entità localizzate in 111 diversi Paesi. Fra di essi figurerebbero PoE (Proof-of-Execution) e SoW (Statement of Work), fatture, ordini, preventivi, listini di prezzi, strategie commerciali e dettagli dell’ecosistema di alcuni partner.

[post_tags]

Anonymous Russia Deus DEV-0960 Domestic Kitten Emennet Pasargad FurBall Hackers of Savior KillNet L3MON OldGremlin Prestige TinyCriptor

Contenuti correlati

Gli hacktivisti filorussi: fronte comune, ma non troppo

Offensive nel conflitto russo-ucraino, campagne su larga scala ad opera di APT finanziati da Mosca, colpite Westpole e altre aziende italiane

Escalation in Medio Oriente, nuove rivelazioni su Intellexa e Predator, corrette 0-day sfruttate ITW