Weekly Threats N. 45 2022

11 Novembre 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

KillNet: distribuito l’omonimo ransomware
Ravin Academy: società informatica iraniana legata al MOIS
Axiom: individuato il sottogruppo Earth Longzhi
Worok: scoperta la backdoor DropBoxControl
Microsoft: Patch Tuesday corregge 6 vulnerabilità sfruttate ITW

Anche questa settimana si segnalano nuove offensive inerenti al contesto russo-ucraino.
L’hacktivista filorusso KillNet ha iniziato a colpire i propri avversari con l’omonimo ransomware. Nello specifico, si tratta di una versione modificata del noto ransomware Chaos che, al momento dell’esecuzione, rilascia una nota con il link al canale Telegram del collettivo contenente messaggi di propaganda relativi al conflitto. Inoltre, il gruppo ha rivendicato un’offensiva contro i portali delle Agenzie di Intelligence di Estonia, Polonia, Romania, Bulgaria e Moldavia.
L’APT di Mosca Gamaredon Group, invece, ha condotto una campagna di phishing spacciandosi per il Servizio Speciale di Comunicazione Statale ucraino al fine di distribuire sui computer target programmi malevoli, tra cui infostealer.

Passando al panorama prettamente state-sponsored, sono state tracciate nuove attività e strumenti malevoli. In particolare, è stato identificato un sottogruppo del cluster cinese Axiom denominato Earth Longzhi che, a partire dal 2020, ha preso di mira principalmente entità della regione dell’Asia Pacifica con diversi loader Cobalt Strike e tool di hacking customizzati; inoltre è stata scoperta DropBoxControl, backdoor riconducibile al gruppo di spionaggio Worok che abusa del servizio di file hosting DropBox per le comunicazioni con il C2 e l’esfiltrazione di file.
Infine, sebbene non direttamente associata a uno specifico avversario ma con legami con diversi APT iraniani (tra cui MuddyWater), alcuni ricercatori di sicurezza hanno fornito dettagli su una società di sicurezza informatica chiamata Ravin Academy, specializzata nella formazione e nel reclutamento di individui per conto del Ministero delle Informazioni e della Sicurezza (MOIS) di Teheran.

Spostandoci sul versante vulnerabilità, invece, come di consueto martedì è stato pubblicato il Patch Tuesday di Microsoft che risolve sei vulnerabilità sfruttate ITW. Tra i bug corretti figurano: le due falle ProxyNotShell di Exchange tracciate con codice CVE-2022-41040 e CVE-2022-41082 (rispettivamente Elevation of Privilege e Remote Code Execution); la CVE-2022-41091 di tipo Security Feature Bypass in Windows Mark of the Web; la CVE-2022-41128 di tipo Remote Code Execution in Windows Scripting Languages; la CVE-2022-41125 di tipo Elevation of Privilege in Windows CNG Key Isolation Service; e la CVE-2022-41073, anch’essa di tipo Elevation of Privilege, in Windows Print Spooler.

[post_tags]

Axiom Chaos Cobalt Strike CVE-2022-41040 CVE-2022-41073 CVE-2022-41082 CVE-2022-41091 CVE-2022-41125 CVE-2022-41128 DropBoxControl Earth Longzhi Gamaredon Group KillNet MuddyWater ProxyNotShell Ravin Academy Worok

Contenuti correlati

Sferrate offensive in Italia, attività APT in Eurasia, avversari inediti colpiscono utenti Android in Africa e Sud Asia

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente