Weekly Threats N. 47 2022

25 Novembre 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Anonymous Russia e KillNet: DDoS al sito del Parlamento europeo
Gamaredon Group: continuano le offensive contro Kiev
Disinformazione: Iran e Venezuela contro gli Stati Uniti
Google: corretta una 0-day sfruttata ITW in Chrome
CVE-2022-34721: avversari cinesi e russi sfruttano la falla

Anche questa settimana non rallentano le attività di matrice hacktivista filorussa. KillNet ha rivendicato sul proprio canale Telegram un’offensiva contro alcuni portali britannici, in particolare quello del Principe di Galles, dell’Esercito (British Army), del sistema di pagamento BACS (Bankers Automated Clearing Service) e della Borsa di Londra. Dal canto suo, Anonymous Russia ha bersagliato un portale di MBDA, principale azienda europea nel settore dei sistemi missilistici. Infine, entrambi i collettivi pro-Cremlino hanno sferrato un attacco DDoS contro il sito del Parlamento europeo nello stesso giorno in cui è stata approvata la risoluzione che riconosce la Russia come “Stato sponsor del terrorismo”.

Sempre nel contesto russo-ucraino, l’APT di Mosca Gamaredon Group prosegue imperterrito a sferrare offensive contro organizzazioni governative e militari di Kiev, sfruttando la tecnica della Remote Template Injection in documenti Microsoft Word al fine di ottenere l’accesso iniziale nelle reti target.

Nel frattempo, nello spazio informativo globale è stata scoperta una campagna di influenza – iniziata nel 2020 e tuttora in corso – condotta da Venezuela e Iran circa l’estradizione e l’incarcerazione dell’uomo d’affari Alex Saab da parte degli Stati Uniti. Secondo Teheran e Caracas, Washington avrebbe ingiustamente sanzionato, rapito e illegalmente detenuto il presunto agente speciale in Iran per il regime di Maduro. Per questo motivo, l’operazione si propone di incrementare il sentiment antiamericano in America Latina attraverso attività di disinformazione in grado di supportare la narrazione venezuelana e iraniana.

Concludiamo la nostra rassegna con due vulnerabilità sfruttate ITW.
La prima, tracciata con codice CVE-2022-4135, è una Heap Buffer Overflow in GPU che impatta le versioni di Google Chrome per desktop e Android. La seconda, identificata con codice CVE-2022-34721, è una Remote Code Execution critica presente nel componente Internet Key Exchange (IKE) Protocol Extensions di Microsoft Windows, già corretta nel Patch Tuesday di settembre. Quest’ultima risulta sfruttata nell’ambito di una campagna presumibilmente lanciata il 6 settembre 2022 e condotta da avversari cinesi in collaborazione con il gruppo cybercriminale russo Anunak (FIN7).

[post_tags]

Anonymous Russia Anunak CVE-2022-34721 CVE-2022-4135 Gamaredon Group KillNet

Contenuti correlati

Sferrate offensive in Italia, attività APT in Eurasia, avversari inediti colpiscono utenti Android in Africa e Sud Asia

Gli hacktivisti filorussi: fronte comune, ma non troppo

Offensive nel conflitto russo-ucraino, campagne su larga scala ad opera di APT finanziati da Mosca, colpite Westpole e altre aziende italiane