Weekly Threats N. 11 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Fortinet e Microsoft: risolte vulnerabilità sfruttate ITW
• State-Sponsored: individuate nuove campagne di spionaggio
• Italia: offensive interessano realtà del Paese

Questa settimana tra le notizie di maggiore interesse spicca la scoperta di alcune vulnerabilità 0-day sfruttate ITW. Fortinet ha rilasciato un advisory nel quale dichiara che la CVE-2022-41328 di FortiOS – patchata i primi di marzo – è stata sfruttata in attacchi altamente mirati rivolti contro target governativi e grandi realtà. La falla, una Path Traversal, è stata impiegata anche dal cluster cinese UNC3886 per distribuire diverse nuove backdoor, tra cui CASTLETAP, THINCRUST, REPTILE, oltre alle già documentate VIRTUALPITA e VIRTUALPIE. Microsoft, invece, ha rilasciato il Patch Tuesday per il mese di marzo in cui vengono corretti due bug di tipo Security Feature Bypass in Windows SmartScreen e Microsoft Outlook per Windows, rispettivamente identificati con codice CVE-2023-24880 e CVE-2023-23397. Il primo è stato usato da avversari finanziariamente motivati per distribuire il ransomware Magniber; mentre il secondo, è stato abusato da un avversario russo in attacchi mirati contro organizzazioni europee operanti nei settori governativo, dei trasporti, energetico e militare.

Passando al panorama prettamente state-sponsored, negli ultimi giorni sono state segnalate varie operazioni di spionaggio. Il russo APT 29 ha sfruttato come esca la visita dell’ambasciatore polacco negli USA per colpire entità diplomatiche e sistemi europei che forniscono aiuti a Kiev. D’altra parte, il cluster Winter Vivern – presumibilmente filorusso – ha preso di mira agenzie governative polacche, i Ministeri degli Affari Esteri di Ucraina e Italia, individui del Governo indiano e aziende del settore delle telecomunicazioni che sostengono Kiev. Sempre rivolti contro target di alto rilievo figurano anche l’APT Dark Pink, che ha bersagliato organi governativi e militari nei Paesi ASEAN, e l’avversario YoroTrooper (attribuibile a Kasablanka), il quale ha spiato realtà governative ed energetiche dei Paesi CIS, organizzazioni internazionali, ambasciate ed organismi europei, oltre ad agenzie governative turche.

Concludiamo la nostra rassegna con diverse offensive che hanno interessato alcune entità del nostro Paese. In particolare, il collettivo hacktivista NoName057(16) ha sferrato attacchi DDoS contro diversi siti del Ministero della Difesa, la pagina del Ministero del Lavoro e delle Politiche Sociali e il portale del Ministero dell’Interno dedicato alla Carta d’Identità Elettronica. Dal canto loro, i gruppi ransomware BlackBasta Team e LockBit Team hanno rivendicato la compromissione il primo di Acea Energia e l’altro dell’azienda chimica Lubrimetal e della società EURIAL – Bontà Viva. Infine, i comuni di Turate (CO) e di Taggia (IM) hanno subito un attacco informatico che nel caso dell’Ente comunale ligure è di natura ransomware.