Weekly Threats N. 1 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• NoName057(16): perso di mira il settore logistico e dei trasporti della regione baltica
• Ekipa RAT: osservato l’utilizzo del trojan nell’ambito del conflitto russo-ucraino
• Polonia: rilasciato comunicato su attacchi cyber di matrice russa
• Hive Team: rivendicato l’attacco informatico all’italiana Camst Group
• CircleCI, Slack e PyTorch: rilevati incidenti di sicurezza

Anche questa settimana non rallentano le attività di matrice hacktivista filorussa. Il collettivo NoName057(16) ha rivendicato sul proprio canale Telegram diverse offensive contro alcuni portali lituani e lettoni, ponendo maggiore attenzione al settore logistico e dei trasporti della regione baltica.

Per quanto riguarda il conflitto russo-ucraino, i ricercatori hanno osservato come un trojan precedentemente non documentato denominato Ekipa RAT, in grado di utilizzare macro in Publisher, sia stato sfruttato attivamente nell’ambito del conflitto sia sul territorio ucraino sia contro target russi. In aggiunta, il Governo polacco ha rilasciato sul proprio sito ufficiale un comunicato in merito ad attacchi cyber di matrice russa che stanno interessando il Paese. Le offensive associabili ad avversari finanziati da Mosca, che negli ultimi tempi si sarebbero intensificate, sono state interpretate come una reazione contro il supporto fornito da Varsavia all’Ucraina.

Passando al quadrante ransomware, l’attacco informatico subito dall’italiana Camst Group lo scorso 29 dicembre è stato rivendicato da Hive Team; il gruppo avrebbe anche pubblicato migliaia di documenti sottratti alla compagnia. Tra le altre vittime di attacchi estorsivi a livello internazionale si segnala la canadese Copper Mountain Mining Corporation (CMMC), che gestisce l’omonima miniera di rame nella Columbia Britannica.

Restando nel panorama cyber crime, nuovi breach e leak sono emersi. CircleCI ha reso noto sul proprio blog un incidente di sicurezza e ha invitato gli utenti a ruotare i propri segreti, mentre Slack ha annunciato di aver subito un’offensiva che ha interessato alcuni dei suoi repository di codice GitHub privati. Sempre nell’ultima settimana, è stato rilevato su un popolare forum underground un ulteriore leak di dati riconducibile a Twitter contenente presumibilmente gli indirizzi e-mail di oltre 200 milioni di account. Infine, il team di PyTorch ha avvertito gli utenti che hanno installato PyTorch-nightly tra il 25 dicembre 2022 e il 30 dicembre 2022 di disinstallare immediatamente quest’ultimo e torchtriton e utilizzare i binari nightly più recenti. In particolare, i pacchetti PyTorch-nightly per Linux installati tramite pip in quel periodo hanno introdotto una dipendenza compromessa contenente un binario malevolo.