Weekly Threats N. 9 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Novità dal panorama state-sponsored
• Italia: individuati nuovi leak e offensive
• Anonymous Russia e NoName057(16): continuano le consuete rivendicazioni

Questa settimana apriamo la nostra rassegna con alcune novità dal panorama state-sponsored riguardanti soprattutto il quadrante asiatico. L’APT di Pechino Mustang Panda ha distribuito una nuova backdoor denominata MQsTTang nell’ambito di una campagna attiva dall’inizio di gennaio 2023. Dal canto suo, il cinese Emissary Panda ha aggiornato il proprio malware SysUpdate per includere nuove funzionalità, oltre ad alcuni componenti che consentono al software di compromettere sistemi Linux. Sempre finanziato dalla Repubblica Popolare Cinese, il cluster Axiom ha invece continuato a sferrare attacchi contro target con sede in Asia, tra cui due realtà operanti nel settore dei materiali e dei compositi, suggerendo una possibile concentrazione delle attività sul furto di proprietà intellettuale. Quanto al gruppo Tengyun Snake, di presunta origine asiatica, sono stati rilevati nuovi metodi d’attacco impiegati dall’APT nell’arco del 2022, basati sull’utilizzo di link e documenti malevoli al fine di installare malware. Infine, spostandoci nella regione latinoamericana, APT-C-36 ha condotto un’operazione di spionaggio nella quale ha impersonato la DIAN colombiana per colpire target attivi in diversi settori chiave del Paese.

Passando all’Italia, su un noto forum underground è stato individuato un leak composto da 2.165.700 milioni di informazioni inerenti a carte di pagamento che, oltre al Bel Paese, ha interessato Stati Uniti, Messico, Cina, Regno Unito, Canada, India, Sudafrica, Australia e Brasile. Tra gli istituti di credito italiani coinvolti figurano: Poste Italiane, Intesa Sanpaolo, Nexi e Banca Sella. Da ultimo, l’Azienda Ospedaliero-Universitaria di Parma sembrerebbe essere caduta vittima di un presunto attacco di origine russa; mentre RansomEXX Team ha rivendicato la compromissione dello Studio Bettuzzi & Partners Dottori Commercialisti di Treviso, pubblicando sul proprio sito dei leak 34.66 GB di dati.

Concludendo con il fronte hacktivista di matrice filorussa, i collettivi Anonymous Russia e NoName057(16) proseguono imperterriti ad eseguire attacchi DDoS contro portali giapponesi, polacchi, lettoni, russi, ucraini, cechi, estoni, slovacchi, norvegesi e spagnoli.