Weekly Threats N. 8 2023

24 Febbraio 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

NoName057(16): rivendicate offensive anche contro portali italiani
Lorec53: attaccati i siti di diverse organizzazioni statali ucraine
APT: nuovi cluster e nuove minacce dall’Asia

Questa settimana nuove offensive di matrice hacktivista filorussa hanno preso di mira anche l’Italia. In particolare, NoName057(16) ha rivendicato sul proprio canale Telegram attacchi contro portali del Ministero della Difesa, del Ministero dell’Interno, del Ministero degli Affari Esteri, dell’Esercito Italiano e dell’Arma dei Carabinieri, oltre a siti di BPER Banca e alla pagina del Gruppo A2A. Inoltre, tra i target colpiti dal collettivo compaiono pagine francesi, tedesche, ucraine, svedesi, giapponesi, estone, austriache, danesi e lettoni. Dal canto loro, anche Anonymous Russia e KillNet hanno continuato con operazioni DDoS. Il primo ha concentrato la propria attenzione contro aeroporti polacchi, tedeschi e ucraini, mentre il secondo ha bersagliato un portale dello United States Army Intelligence and Security Command americano e siti governativi polacchi.

Per quanto riguarda il fronte ucraino, in data 23 febbraio 2023 il Computer Emergency Response Team di Kiev ha rilevato un attacco rivolto contro i siti web di diverse organizzazioni statali, attribuito al russo Lorec53. Nello specifico, su uno dei portali violati è stata identificata una webshell che, stando alle indagini effettuate, risulta creata nel dicembre 2021 e utilizzata dall’avversario per distribuire backdoor custom chiamate CredPump, HoaxPen e HoaxApe.

Restando nel panorama prettamente state-sponsored, l’ENISA e il CERT-EU hanno rilasciato un advisory congiunto per mettere in guardia sulle attività malevole di specifici avversari finanziati dal Governo di Pechino e rivolte contro organizzazioni dell’Unione Europea. Nello specifico, i due Enti europei hanno fornito una panoramica delle TTP e delle operazioni recentemente osservate dei gruppi cinesi Emissary Panda, APT31, GALLIUM, Mirage e Mustang Panda.
Inoltre, sempre dal quadrante asiatico, sono emerse nuove minacce. Un cluster denominato Clasiopa è stato visto colpire un istituto di ricerca attivo nel settore dei materiali localizzato in Asia con un toolset esclusivo che include un RAT custom chiamato Atharvan; mentre un gruppo precedentemente non documentato chiamato Hydrochasma ha preso di mira compagnie di navigazione e laboratori medici con sede in Asia nell’ambito di una presunta campagna di spionaggio. In aggiunta, un avversario identificato come Earth Yako – che si ritiene possa essere collegato a gruppi state-sponsored esistenti – sembra aver condotto diversi attacchi contro ricercatori del mondo accademico e think tank in Giappone dal 2021 al gennaio 2023.
Infine, passando per il sud del continente, sono state tracciate due campagne di spear phishing. La prima è stata effettuata tra giugno e novembre 2021 dal gruppo di matrice indiana Sidewinder, il quale ha tentato di colpire 61 organizzazioni governative, militari, di Polizia e di altri settori in Afghanistan, Bhutan, Myanmar, Nepal e Sri Lanka. La seconda, invece, attribuibile al pakistano Barmanou ha veicolato una versione aggiornata della backdoor ReverseRAT contro enti governativi indiani.

[post_tags]

Anonymous Russia APT31 Atharvan Barmanou Clasiopa CredPump Earth Yako Emissary panda Gallium HoaxApe HoaxPen Hydrochasma KillNet Lorec53 Mirage Mustang Panda NoName057(16) ReverseRAT Sidewinder

Contenuti correlati

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

DDoS e ransomware colpiscono l’Italia, smantellata una botnet del russo Sofacy, notificate vulnerabilità sfruttate ITW

Gli hacktivisti filorussi: fronte comune, ma non troppo