Weekly Threats N. 6 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• NoName057(16) e Anonymous Russia: rivendicate nuove offensive
• Ucraina: Remcos e Graphiron colpiscono il Paese
• NewsPenguin e TA866: tracciate campagne di phishing e spear phishing
• Ransomware: presi di mira sistemi Windows, Linux e VMware ESXi
• LockBit Team: rivendicato l’attacco a Royal Mail

Anche questa settimana si sono registrate nuove offensive di matrice hacktivista filorussa. Il collettivo NoName057(16) ha rivendicato attacchi contro portali ucraini dei settori energetico, manifatturiero e finanziario, oltre a pagine del conglomerato multinazionale minerario-siderurgico Metinvest, controllato da System Capital Management Holdings dell’imprenditore Rinat Achmetov e noto per sostenere attivamente le Forze Armate ucraine. Successivamente, il gruppo si è focalizzato su diversi siti svedesi, estoni, lettoni, polacchi, austriaci e britannici appartenenti a vari settori, in alcuni casi come forma di ritorsione per l’invio di armi a sostegno dell’Ucraina o nei confronti delle dichiarazioni di opposizione alla partecipazione degli atleti russi e bielorussi alle Olimpiadi del 2024. Dal canto suo, Anonymous Russia ha colpito portali del servizio di messaggistica istantanea e VoIP Skype, il sito del marketplace online lettone Joom e la pagina del provider di cloud hosting Aéza.

Passando al fronte ucraino, il CERT-UA ha rilevato una massiccia campagna di distribuzione del RAT Remcos contro Autorità statali del Paese; mentre il gruppo sovvenzionato dal Cremlino Lorec53 sta distribuendo un nuovo infostealer chiamato Graphiron.

Sempre per quanto riguarda il panorama state-sponsored, un nuovo avversario soprannominato NewsPenguin è stato collegato a una campagna di spear phishing che ha preso di mira entità pakistane, sfruttando come esca l’imminente Pakistan International Maritime Expo & Conference (PIMEC-2023); e un avversario identificato come TA866, secondo alcuni ricercatori presumibilmente sovrapponibile a Ghostwriter, è stato visto condurre attacchi di phishing finanziariamente motivati volti alla distribuzione di malware custom contro organizzazioni statunitensi e tedesche operanti in diversi settori industriali.

In conclusione, sono state osservate novità anche nel mondo ransomware. È stato recentemente rilevato uno sfruttamento massivo della vulnerabilità CVE-2021–21974 relativa ai server VMware ESXi che ha avuto un impatto anche su entità nazionali. Tali server sono stati presi di mira anche da una nuova variante Linux del ransomware Royal. Oltre a ciò, una famiglia relativamente nuova chiamata Nevada Ransomware ha aggiornato e migliorato significativamente le proprie funzionalità per sistemi Windows e Linux/VMware ESXi. Infine, è stata individuata una versione Linux – ancora in fase di sviluppo – del ransomware Clop associato al gruppo cybercriminale TA505, mentre il LockBit Team ha rivendicato l’attacco all’azienda postale britannica Royal Mail avvenuto a inizio gennaio 2023.