Weekly Threats N. 3 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Ucraina: nuove offensive dei russi Sandworm e Gamaredon Group
• Hacktivismo: continuano le rivendicazioni di NoName057(16) e Anonymous Russia
• CVE-2022-42475: presunto avversario cinese sfrutta il bug per distribuire BOLDMOVE
• NortonLifeLock, PayPal, Mailchimp e T-Mobile: segnalati diversi data breach

Nella settimana appena conclusa, il CERT-UA ha attribuito al russo Sandworm un attacco informatico che ha portato alla distribuzione di CaddyWiper sui sistemi dell’Agenzia di stampa nazionale ucraina Ukrinform. Tuttavia, il malware è stato prontamente localizzato permettendo all’Organizzazione di Kiev di continuare a operare. Sempre nell’ambito del conflitto russo-ucraino, alcuni ricercatori di sicurezza hanno tracciato una campagna dell’APT di Mosca Gamaredon Group che nel novembre 2022 ha sfruttato l’infrastruttura di Telegram per colpire organizzazioni di Kiev appartenenti a settori cruciali per il Paese, come quello governativo, militare e delle Forze dell’Ordine.

Spostandoci sul fronte hacktivista filorusso, continuano le consuete rivendicazioni dei collettivi NoName057(16) e Anonymous Russia. Il primo ha sferrato attacchi DDoS contro portali governativi e finanziari danesi – incluso quello del Ministero delle Finanze – e diversi siti cechi, tra cui quello del Ministero della Difesa, del Ministero dell’Industria e del Commercio, dell’Agenzia governativa CzechTrade, della Hlídač státu, dell’Istituto di statistica e di numerose aziende del settore manifatturiero. Il secondo, invece, ha bersagliato diverse pagine governative, finanziarie e d’intrattenimento slovacche, oltre al sito dell’Exchanger VM-Obmen.

Passando al panorama APT, un avversario di matrice presumibilmente cinese ha sfruttato la vulnerabilità CVE-2022-42475 di FortiOS SSL-VPN per distribuire un malware inedito denominato BOLDMOVE contro i sistemi di un ente governativo europeo e di un provider di servizi gestiti (MSP) africano. La falla, classificata come 0-day e patchata nel dicembre 2022, è stata utilizzata anche la scorsa settimana in attacchi altamente mirati rivolti contro target governativi e grandi realtà.

Concludiamo con alcuni data breach che hanno interessato diverse organizzazioni internazionali. Le società statunitensi PayPal e NortonLifeLock hanno entrambe notificato ai propri clienti una violazione dei dati avvenuta in seguito ad attacchi di credential stuffing. Dal canto suo, la popolare piattaforma di e-mail marketing Mailchimp ha comunicato di aver subito un attacco informatico che ha portato all’esposizione di 133 account. Infine, l’operatore di telefonia mobile T-Mobile ha annunciato un nuovo data breach dovuto all’esfiltrazione delle informazioni personali contenute negli account di circa 37 milioni di clienti, avvenuta tramite una delle proprie API.