WEEKLY THREATS

Weekly Threats N. 13 2023

31 Marzo 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • 3CXDesktopApp: individuata campagna attiva rivolta ai clienti di 3CX
  • State-sponsored: tracciati tool inediti e nuove attività associati ad APT asiatici e filorussi
  • Vulnerabilità: sfruttati bug per distribuire spyware e ransomware

La settimana appena conclusa è stata caratterizzata da attacchi di tipo supply chain parte di una campagna attiva rivolta ai clienti dell’applicazione 3CXDesktopApp di 3CX dietro la quale si sospetta ci sia l’APT nordcoreano Lazarus Group. Nello specifico, gli endpoint con l’app in questione installata hanno ricevuto un aggiornamento automatico malevolo – firmato da 3CX e scaricato dai loro server – che ha portato all’installazione di un malware denominato ICONIC e un infostealer soprannominato ICONICSTEALER. Al momento sono stati individuati installer malevoli sia per Windows che macOS.

Rimanendo nel panorama state-sponsored, sono stati tracciati tool inediti e nuove attività associati ad avversari asiatici e filorussi. Per quanto riguarda la Corea del Nord, è stato identificato come APT43 un gruppo, riconducibile all’Reconnaissance General Bureau (RGB), che dal 2018 ha preso di mira entità governative, accademiche e think tank in Europa, USA, Giappone e Corea del Sud. Sempre finanziato da Pyongyang, invece, ScarCruft ha aggiornato il malware custom RokRAT per colpire dispositivi Android. Quanto all’India, l’APT di Nuova Delhi Bitter ha condotto un’operazione di spionaggio rivolta contro realtà cinesi che si occupano di energia nucleare e, in alcuni casi, individui ed enti del mondo accademico specializzati nel settore. Spostandoci in Cina, alcuni analisti hanno scoperto una nuova famiglia malware per Linux chiamata Mélofée che è stata associata a gruppi state-sponsored cinesi, in particolare al cluster Axiom. A quest’ultimo è stato collegato anche un avversario denominato RedGolf a cui appartiene un’infrastruttura operativa associata alla backdoor KEYPLUG utilizzata almeno dal 2021 al 2023. Inoltre, altri esperti hanno analizzato una campagna di spionaggio dell’avversario di Pechino Mustang Panda – tuttora attiva – che ha mietuto oltre 200 vittime in tutto il mondo. Infine, l’APT Winter Vivern – presumibilmente di matrice filorussa – ha sfruttato la CVE-2022-27926 di Zimbra Collaboration per ottenere l’accesso alle e-mail di organizzazioni militari, governative e diplomatiche europee allineate con le posizioni della NATO e coinvolte nel conflitto russo-ucraino.

Concludiamo con alcune notizie provenienti dal versante vulnerabilità. Il TAG di Google ha rilevato due campagne distinte altamente mirate basate sullo sfruttamento di exploit n-day e 0-day contro dispositivi Android e iOS. La prima ha previsto l’utilizzo di exploit chain per Android e iOS che sono state consegnate tramite link bit[.]ly inviati via SMS a utenti situati in Italia, Malesia e Kazakistan. La seconda, invece, ha portato alla distribuzione di una suite spyware per Android attraverso exploit consegnati tramite one-time link inviati sempre via SMS a dispositivi situati negli Emirati Arabi Uniti (EAU). Da ultimo, avversari hanno abusato della CVE-2022-47986 presente in IBM Aspera Faspex per distribuire ransomware. Nei mesi precedenti, tale falla critica era già stata abusata per veicolare IceFire e Buhti.

[post_tags]