Weekly Threats N. 15 2023

14 Aprile 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Microsoft, Apple, Google e Novi Survey: segnalate vulnerabilità sfruttate ITW
APT: identificate nuove operazioni
KingsPawn: usato lo spyware dell’israeliana QuaDream per colpire dispositivi iOS

Questa settimana tra le notizie di maggiore interesse spicca la scoperta di alcune vulnerabilità 0-day sfruttate ITW. Microsoft ha rilasciato il Patch Tuesday per il mese di aprile in cui viene corretta una falla di tipo Elevation of Privilege tracciata con codice CVE-2023-28252, presente nel Common Log File System (CLFS) di Windows. Tale bug è stato sfruttato nel febbraio 2023 in un attacco volto alla distribuzione del ransomware Nokoyawa. Apple, invece, ha pubblicato diversi aggiornamenti di sicurezza per sanare due 0-day individuate con codice CVE-2023-28206 e CVE-2023-28205. La prima è una Out-of-bounds Write che risiede in IOSurfaceAccelerator, mentre la seconda – per la quale è disponibile anche un exploit PoC – è una Use After Free presente in WebKit. Infine, la CISA ha aggiunto al suo catalogo delle vulnerabilità sfruttate ITW una Elevation of Privilege identificata con codice CVE-2023-20963, risolta da Google nell’Android Security Bulletin di marzo; e una Insecure Deserialization tracciata con codice CVE-2023-29492 che impatta il software Novi Survey.

Passando al panorama state-sponsored, il Servizio militare di controspionaggio polacco (SKW) e il CERT Polska hanno rilevato una campagna di spionaggio – tuttora in corso – attribuita ai Servizi Segreti di Mosca e, in particolare, al russo APT 29. L’operazione è volta alla raccolta di informazioni da ministeri stranieri ed enti diplomatici e, stando a quanto analizzato finora, ha preso di mira target localizzati nei Paesi membri della NATO, nell’Unione Europea e, in misura minore, in Africa. Spostandoci in Medio Oriente, l’iraniano MuddyWater e DarkBit Team hanno condotto attività distruttive rivolte contro ambienti on-premises e cloud. In particolare, l’APT di Teheran ha probabilmente ottenuto l’accesso iniziale sfruttando vulnerabilità note, mentre DarkBit Team ha poi condotto attività di post-explotation con lo scopo di causare una perdita di dati e una condizione di Denial of Service dei servizi dei target. Dal canto suo, il pakistano Barmanou ha veicolato il RAT Crimson contro entità del settore dell’istruzione indiano. Infine, 3CX ha fornito ulteriori dettagli emersi dalle indagini condotte sugli attacchi supply chain rivolti ai suoi clienti. La campagna, che è stata attribuita a un cluster legato alla Corea del Nord denominato UNC4736 (probabilmente Lazarus Group), ha previsto la distribuzione di un malware per Windows chiamato TAXHAUL, un downloader soprannominato COLDCAT e una backdoor per macOS denominata SIMPLESEA.

Sempre inerente al versante state-sponsored, ricercatori di sicurezza hanno identificato almeno cinque vittime della società civile i cui dispositivi sono stati compromessi con uno spyware per iOS ribattezzato KingsPawn, prodotto dalla società di sorveglianza israeliana QuaDream e presumibilmente distribuito tramite un presunto exploit zero-click chiamato ENDOFDAYS. Tra i target identificati figurano giornalisti, esponenti dell’opposizione politica e operatori di una ONG in Nord America, Asia centrale, Sudest Asiatico, Europa e Medio Oriente.

[post_tags]

APT 29 Barmanou COLDCAT Crimson CVE-2023-20963 CVE-2023-28205 CVE-2023-28206 CVE-2023-28252 CVE-2023-29492 DarkBit Team ENDOFDAYS KingsPawn Lazarus Group MuddyWater Nokoyawa QuaDream SIMPLESEA TAXHAUL

Contenuti correlati

Nuove vulnerabilità preoccupano gli esperti, tracciate offensive di APT asiatici, segnalati leak di AT&T e target italiani

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente