Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Ucraina: distribuito Romcom RAT contro le Forze Armate
  • APT: novità dai versanti indiano e nordcoreano
  • Iran: compromissione hacktivista contro l’AEOI
  • Cybercrime: nuove campagne ransomware ed estorsive
  • 0-day: identificate due vulnerabilità sfruttate ITW

Anche questa settimana si segnalano nuove offensive sul fronte ucraino. È stata individuata una campagna basata su Romcom RAT contro le Forze Armate di Kiev possibilmente attribuibile, secondo gli analisti del CERT-UA, al Cuba Team. Nel frattempo, il collettivo filorusso KillNet ha rivendicato sul proprio canale Telegram un attacco contro i portali della Borsa di Varsavia.

Spostandoci sul panorama prettamente state-sponsored, sono state tracciate nuove attività e strumenti malevoli riconducibili a gruppi di matrice indiana e nordcoreana. In particolare, Dropping Elephant ha sferrato campagne basate sui RAT BADNEWS e Bozok contro target localizzati in Pakistan e Cina; inoltre, è stata scoperta WarHawk, una backdoor riconducibile a Sidewinder. Per quanto riguarda il versante nordcoreano, tre nuovi malware Android denominati FastFire, FastViewer e FastSpy sono stati associati a ScarCruft.

Continuano le attività a sostegno delle proteste antigovernative in Iran. L’Atomic Energy Organization of Iran (AEOI) ha dichiarato in un comunicato stampa ufficiale che i server di posta elettronica di una delle sue filiali sono stati violati. A rivendicare l’attacco è stato un gruppo chiamato Black Reward.

Passando al cybercrime, un affiliato del gruppo ransomware LV Team ha lanciato un’offensiva contro i sistemi di una compagnia giordana, mentre Vice Team è stato osservato condurre campagne ransomware e di estorsione contro il settore dell’istruzione in tutto il mondo, in particolare negli Stati Uniti. Infine, Hive Team ha rivendicato sul proprio sito dei leak l’attacco alla società di servizi elettrici indiana Tata Power Company Limited e il collettivo Karakurt la compromissione di R1 Group, System Integrator italiano specializzato in evoluzione e innovazione tecnologica per il settore pubblico e privato.

Concludiamo con due vulnerabilità 0-day attivamente sfruttate ITW. La prima, tracciata con codice CVE-2022-42827, è di tipo Out-of-bounds, riguarda iOS e iPadOS e permette a un’applicazione di eseguire codice arbitrario con privilegi kernel. La seconda invece, identificata con codice CVE-2022-3723, impatta le versioni di Chrome per desktop e Android, è di tipo Type Confusion e risiede nel motore JavaScript V8.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi