Weekly Threats N. 46 2022

18 Novembre 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Italia: nuove offensive colpiscono il Bel Paese
APT: fermento in Asia
KillNet: colpiti portali greci e statunitensi
From Russia with Love: distribuito il ransomware Somnia

Apriamo la rassegna di questa settimana con diverse offensive che hanno interessato l’Italia. Il gruppo KelvinSecurity ha messo in vendita su un noto forum underground oltre 11 GB di dati della società TEL.ENE. TELEPHONY & ENERGY CONSULTING. Sempre nell’underground è stato pubblicato un annuncio di vendita di circa 5 milioni di record di utenti dei due portali di gioco bet9ja.com e goldbet.it, che sembrerebbero essere frutto di una passata violazione del famigerato ALPHV Team. Dal canto suo, la Compagnia Valdostana delle Acque – C.V.A. S.p.A, operante nel settore della produzione di energia elettrica da fonti rinnovabili, ha rilevato sui propri sistemi informatici elementi che possono essere ricondotti a un attacco proveniente da fonti esterne. Inoltre, anche Autovie Venete S.p.A sembrerebbe essere stata compromessa, mentre il Comune campano di Torre del Greco (NA) ha subito un’offensiva ransomware che ha causato il blocco dell’attività degli uffici municipali.

Passando al panorama state-sponsored, si è registrato particolare fermento nel versante asiatico. Il nordcoreano Lazarus Group sta estendendo le proprie operazioni distribuendo attivamente la backdoor Dtrack contro target localizzati in Europa e America Latina. Per quanto riguarda la Cina, Lotus Blossom ha preso di mira un’Autorità di Certificazione (CA), Agenzie governative e organizzazioni della Difesa in diversi Paesi asiatici. Mustang Panda, invece, ha condotto diversi attacchi di spear phishing rivolti contro entità dei settori governativo, accademico, dell’istruzione e della ricerca in tutto il mondo. Infine, due campagne di spionaggio di lunga data basate su spyware per Android – rispettivamente BadBazaar e MOONSHINE – hanno colpito la minoranza uigura nella Repubblica Popolare Cinese e all’estero.

Concludiamo con alcune notizie riguardati il conflitto russo-ucraino che arrivano dal fronte hacktivista. Negli ultimi giorni, il gruppo filorusso KillNet ha rivendicato sul proprio canale Telegram un’offensiva contro alcuni portali greci e del Governo statunitense, tra cui quello della Casa Bianca. Parallelamente, il CERT-UA ha rilevato una campagna di distribuzione di un nuovo ransomware chiamato Somnia attribuibile al collettivo russo From Russia with Love (FRwL), noto anche come Z-Team.

[post_tags]

ALPHV Team BadBazaar Dtrack From Russia with Love (FRwL) KelvinSecurity KillNet Lazarus Group Lotus Blossom MOONSHINE Mustang Panda Somnia

Contenuti correlati

Nuove vulnerabilità preoccupano gli esperti, tracciate offensive di APT asiatici, segnalati leak di AT&T e target italiani

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

Attacchi colpiscono la Francia, rivendicazioni ransomware e hacktiviste, attivi avversari cinesi, iraniani e nordcoreani