Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Ucraina: nuove offensive dei russi Sandworm e Gamaredon Group
  • Hacktivismo: continuano le rivendicazioni di NoName057(16) e Anonymous Russia
  • CVE-2022-42475: presunto avversario cinese sfrutta il bug per distribuire BOLDMOVE
  • NortonLifeLock, PayPal, Mailchimp e T-Mobile: segnalati diversi data breach

Nella settimana appena conclusa, il CERT-UA ha attribuito al russo Sandworm un attacco informatico che ha portato alla distribuzione di CaddyWiper sui sistemi dell’Agenzia di stampa nazionale ucraina Ukrinform. Tuttavia, il malware è stato prontamente localizzato permettendo all’Organizzazione di Kiev di continuare a operare. Sempre nell’ambito del conflitto russo-ucraino, alcuni ricercatori di sicurezza hanno tracciato una campagna dell’APT di Mosca Gamaredon Group che nel novembre 2022 ha sfruttato l’infrastruttura di Telegram per colpire organizzazioni di Kiev appartenenti a settori cruciali per il Paese, come quello governativo, militare e delle Forze dell’Ordine.

Spostandoci sul fronte hacktivista filorusso, continuano le consuete rivendicazioni dei collettivi NoName057(16) e Anonymous Russia. Il primo ha sferrato attacchi DDoS contro portali governativi e finanziari danesi – incluso quello del Ministero delle Finanze – e diversi siti cechi, tra cui quello del Ministero della Difesa, del Ministero dell’Industria e del Commercio, dell’Agenzia governativa CzechTrade, della Hlídač státu, dell’Istituto di statistica e di numerose aziende del settore manifatturiero. Il secondo, invece, ha bersagliato diverse pagine governative, finanziarie e d’intrattenimento slovacche, oltre al sito dell’Exchanger VM-Obmen.

Passando al panorama APT, un avversario di matrice presumibilmente cinese ha sfruttato la vulnerabilità CVE-2022-42475 di FortiOS SSL-VPN per distribuire un malware inedito denominato BOLDMOVE contro i sistemi di un ente governativo europeo e di un provider di servizi gestiti (MSP) africano. La falla, classificata come 0-day e patchata nel dicembre 2022, è stata utilizzata anche la scorsa settimana in attacchi altamente mirati rivolti contro target governativi e grandi realtà.

Concludiamo con alcuni data breach che hanno interessato diverse organizzazioni internazionali. Le società statunitensi PayPal e NortonLifeLock hanno entrambe notificato ai propri clienti una violazione dei dati avvenuta in seguito ad attacchi di credential stuffing. Dal canto suo, la popolare piattaforma di e-mail marketing Mailchimp ha comunicato di aver subito un attacco informatico che ha portato all’esposizione di 133 account. Infine, l’operatore di telefonia mobile T-Mobile ha annunciato un nuovo data breach dovuto all’esfiltrazione delle informazioni personali contenute negli account di circa 37 milioni di clienti, avvenuta tramite una delle proprie API.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi