Weekly Threats N. 49 2022

09 Dicembre 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

NoName057(16) e Anonymous Russia: continuano i DDoS di matrice hacktivista
Ucraina: previsti nuovi attacchi da Mosca
ScarCruft: sfruttata la CVE-2022-41128 contro utenti sudcoreani
Google: corretta in Chrome una 0-day sfruttata ITW
Rackspace: attacco ransomware colpisce il provider americano

Questa settimana continuano imperterrite le offensive DDoS di matrice hacktivista filorussa. Il collettivo NoName057(16) ha rivendicato attacchi contro i portali di target di alto profilo localizzati in Europa appartenenti ai settori della Difesa, governativo, dei trasporti, delle telecomunicazioni, marittimo, ingegneristico, logistico e finanziario. Tra questi figurano il Ministero dell’Agricoltura italiano, numerosi Ministeri della Difesa e l’Agenzia europea per la difesa (AED). Dal canto suo, Anonymous Russia ha preso di mira il sito della società statunitense di tecnologia spaziale Maxar Technologies Inc., oltre ad alcune pagine dei servizi musicali svedesi Spotify e SoundCloud.

Spostandoci alla guerra russo-ucraina, la compagnia ferroviaria statale ucraina Ukrzaliznycja ha notificato al CERT-UA la distribuzione del malware DolphinCape contro organizzazioni statali del Paese. Dal canto suo, il russo Callisto ha sferrato diverse operazioni di phishing contro entità che forniscono sostegno logistico, umanitario e militare a Kiev. Inoltre, l’APT di Pechino Mustang Panda ha sfruttato come esca il conflitto per prendere di mira target in Europa e Asia Pacifica con il malware PlugX.
Infine, Microsoft ha segnalato che questo inverno Mosca intensificherà le sue operazioni cibernetiche per minare il sostegno politico e militare di Kiev. Da un lato, ci si aspetta che il Cremlino continui le sue offensive nei confronti delle infrastrutture critiche ucraine, dall’altro perdura il rischio di cyberattacchi distruttivi e campagne di influenza contro i Paesi europei.
Nel frattempo, presumibilmente dal fronte pro-Kiev, è stato veicolato contro uffici di sindaci e tribunali russi un nuovo wiper che si maschera da ransomware chiamato CryWiper.

Passando al versante vulnerabilità, il nordcoreano ScarCruft ha sfruttato contro utenti sudcoreani una 0-day nel motore JavaScript di Internet Explorer (IE). La vulnerabilità è già stata identificata con codice CVE-2022-41128 e corretta nel Patch Tuesday di novembre. In aggiunta, Google ha corretto la nona 0-day dell’anno sfruttata ITW in Chrome per desktop e Android. Tracciata con codice CVE-2022-4262, si tratta di una Type Confusion in V8.

Concludiamo con un attacco ransomware che ha colpito Il provider americano di servizi di cloud computing Rackspace Technology Inc. L’offensiva sembrerebbe essere dovuta alla violazione di un server Microsoft Exchange aziendale vulnerabile alla falla ProxyNotShell.

[post_tags]

Anonymous Russia Callisto CryWiper CVE-2022-41128 CVE-2022-4262 DolphinCape Mustang Panda NoName057(16) PlugX ProxyNotShell ScarCruft

Contenuti correlati

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

DDoS e ransomware colpiscono l’Italia, smantellata una botnet del russo Sofacy, notificate vulnerabilità sfruttate ITW

Gli hacktivisti filorussi: fronte comune, ma non troppo