Weekly Threats N. 43 2022

28 Ottobre 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Ucraina: distribuito Romcom RAT contro le Forze Armate
APT: novità dai versanti indiano e nordcoreano
Iran: compromissione hacktivista contro l’AEOI
Cybercrime: nuove campagne ransomware ed estorsive
0-day: identificate due vulnerabilità sfruttate ITW

Anche questa settimana si segnalano nuove offensive sul fronte ucraino. È stata individuata una campagna basata su Romcom RAT contro le Forze Armate di Kiev possibilmente attribuibile, secondo gli analisti del CERT-UA, al Cuba Team. Nel frattempo, il collettivo filorusso KillNet ha rivendicato sul proprio canale Telegram un attacco contro i portali della Borsa di Varsavia.

Spostandoci sul panorama prettamente state-sponsored, sono state tracciate nuove attività e strumenti malevoli riconducibili a gruppi di matrice indiana e nordcoreana. In particolare, Dropping Elephant ha sferrato campagne basate sui RAT BADNEWS e Bozok contro target localizzati in Pakistan e Cina; inoltre, è stata scoperta WarHawk, una backdoor riconducibile a Sidewinder. Per quanto riguarda il versante nordcoreano, tre nuovi malware Android denominati FastFire, FastViewer e FastSpy sono stati associati a ScarCruft.

Continuano le attività a sostegno delle proteste antigovernative in Iran. L’Atomic Energy Organization of Iran (AEOI) ha dichiarato in un comunicato stampa ufficiale che i server di posta elettronica di una delle sue filiali sono stati violati. A rivendicare l’attacco è stato un gruppo chiamato Black Reward.

Passando al cybercrime, un affiliato del gruppo ransomware LV Team ha lanciato un’offensiva contro i sistemi di una compagnia giordana, mentre Vice Team è stato osservato condurre campagne ransomware e di estorsione contro il settore dell’istruzione in tutto il mondo, in particolare negli Stati Uniti. Infine, Hive Team ha rivendicato sul proprio sito dei leak l’attacco alla società di servizi elettrici indiana Tata Power Company Limited e il collettivo Karakurt la compromissione di R1 Group, System Integrator italiano specializzato in evoluzione e innovazione tecnologica per il settore pubblico e privato.

Concludiamo con due vulnerabilità 0-day attivamente sfruttate ITW. La prima, tracciata con codice CVE-2022-42827, è di tipo Out-of-bounds, riguarda iOS e iPadOS e permette a un’applicazione di eseguire codice arbitrario con privilegi kernel. La seconda invece, identificata con codice CVE-2022-3723, impatta le versioni di Chrome per desktop e Android, è di tipo Type Confusion e risiede nel motore JavaScript V8.

[post_tags]

Black Reward Bozok Cuba Team CVE-2022-3723 CVE-2022-42827 Dropping Elephant FastFire FastSpy FastViewer Hive Team Karakurt KillNet LV Team RAT BADNEWS Romcom RAT ScarCruft Sidewinder Vice Team WarHawk

Contenuti correlati

Gli hacktivisti filorussi: fronte comune, ma non troppo

Offensive nel conflitto russo-ucraino, campagne su larga scala ad opera di APT finanziati da Mosca, colpite Westpole e altre aziende italiane

Target italiani bersagliati da DDoS hacktivisti, scoperte attività inedite in Europa e Asia riconducibili a diversi APT, confermata nuova violazione ai danni di Okta