Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • KillNet: distribuito l’omonimo ransomware
  • Ravin Academy: società informatica iraniana legata al MOIS
  • Axiom: individuato il sottogruppo Earth Longzhi
  • Worok: scoperta la backdoor DropBoxControl
  • Microsoft: Patch Tuesday corregge 6 vulnerabilità sfruttate ITW

Anche questa settimana si segnalano nuove offensive inerenti al contesto russo-ucraino.
L’hacktivista filorusso KillNet ha iniziato a colpire i propri avversari con l’omonimo ransomware. Nello specifico, si tratta di una versione modificata del noto ransomware Chaos che, al momento dell’esecuzione, rilascia una nota con il link al canale Telegram del collettivo contenente messaggi di propaganda relativi al conflitto. Inoltre, il gruppo ha rivendicato un’offensiva contro i portali delle Agenzie di Intelligence di Estonia, Polonia, Romania, Bulgaria e Moldavia.
L’APT di Mosca Gamaredon Group, invece, ha condotto una campagna di phishing spacciandosi per il Servizio Speciale di Comunicazione Statale ucraino al fine di distribuire sui computer target programmi malevoli, tra cui infostealer.

Passando al panorama prettamente state-sponsored, sono state tracciate nuove attività e strumenti malevoli. In particolare, è stato identificato un sottogruppo del cluster cinese Axiom denominato Earth Longzhi che, a partire dal 2020, ha preso di mira principalmente entità della regione dell’Asia Pacifica con diversi loader Cobalt Strike e tool di hacking customizzati; inoltre è stata scoperta DropBoxControl, backdoor riconducibile al gruppo di spionaggio Worok che abusa del servizio di file hosting DropBox per le comunicazioni con il C2 e l’esfiltrazione di file.
Infine, sebbene non direttamente associata a uno specifico avversario ma con legami con diversi APT iraniani (tra cui MuddyWater), alcuni ricercatori di sicurezza hanno fornito dettagli su una società di sicurezza informatica chiamata Ravin Academy, specializzata nella formazione e nel reclutamento di individui per conto del Ministero delle Informazioni e della Sicurezza (MOIS) di Teheran.

Spostandoci sul versante vulnerabilità, invece, come di consueto martedì è stato pubblicato il Patch Tuesday di Microsoft che risolve sei vulnerabilità sfruttate ITW. Tra i bug corretti figurano: le due falle ProxyNotShell di Exchange tracciate con codice CVE-2022-41040 e CVE-2022-41082 (rispettivamente Elevation of Privilege e Remote Code Execution); la CVE-2022-41091 di tipo Security Feature Bypass in Windows Mark of the Web; la CVE-2022-41128 di tipo Remote Code Execution in Windows Scripting Languages; la CVE-2022-41125 di tipo Elevation of Privilege in Windows CNG Key Isolation Service; e la CVE-2022-41073, anch’essa di tipo Elevation of Privilege, in Windows Print Spooler.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi