Weekly Threats N. 16 2023

26 Aprile 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

NoName057(16): colpiti portali italiani
APT: tracciate offensive di gruppi mediorientali, asiatici e russi
Lazarus Group: confermata l’attribuzione della campagna 3CX

La scorsa settimana il collettivo hacktivista filorusso NoName057(16) è tornato a colpire diversi portali italiani con attacchi DDoS. Tra i target figurano il Ministero del Lavoro e delle Politiche Sociali, il Ministero delle Infrastrutture e dei Trasporti, il Consiglio Superiore della Magistratura, l’Autorità di Regolazione dei Trasporti, l’Arma dei Carabinieri, Poste Italiane, BPER Banca, l’Azienda di Trasporti Milanese ATM, l’aeroporto G. Marconi di Bologna e la compagnia aerea Air Dolomiti. Fra le altre vittime compaiono anche siti polacchi, estoni, cechi, olandesi, canadesi e spagnoli.

Passando al panorama prettamente state-sponsored, il National Cyber Security Centre (NCSC) del Regno Unito, le Agenzie americane NSA e CISA e l’FBI hanno rilasciato un advisory congiunto per fornire dettagli sulle TTP associate allo sfruttamento di una vecchia vulnerabilità dei router Cisco da parte del russo Sofacy nel 2021. Inoltre, sono stati attribuiti a un sottogruppo dell’iraniano Charming Kitten attacchi diretti contro alcune infrastrutture critiche negli Stati Uniti tra la fine del 2021 e la metà del 2022. Tra i target presi di mira figurano porti, società energetiche, sistemi di transito e una delle principali società di utility e gas degli Stati Uniti. Sempre di matrice iraniana, l’APT MuddyWater è stato visto utilizzare il tool legittimo SimpleHelp, oltre a un’infrastruttura inedita.

Spostandoci in Asia Meridionale, il pakistano Barmanou ha distribuito un nuovo malware per Linux chiamato Poseidon contro dipendenti di agenzie governative indiane tramite una versione trojanizzata della nota soluzione MFA Kavach; mentre Dropping Elephant ha colpito attraverso app di messaggistica malevole per Android un individuo residente nella regione del Kashmir. Passando al versante Pacifico, in seguito al rilevamento della campagna dell’APT cinese Tick rivolta contro un’azienda produttrice di software di Data Loss Prevention (DLP) in Asia orientale, ricercatori di sicurezza hanno scoperto ulteriori attività del gruppo, oltre ai suoi legami con un’operazione denominata Operation Triple Tiang. Dal canto loro, il cluster Daggerfly ha preso di mira un fornitore di servizi di telecomunicazione in Africa, mentre il collettivo GALLIUM ha bersagliato società di telecomunicazioni in Asia e Africa.

Infine, una nuova campagna del nordcoreano Lazarus Group – parte della cosiddetta Operation Dream Job – volta alla distribuzione di una backdoor per Linux chiamata SimplexTea, ha permesso agli analisti di confermare con un elevato livello di confidenza che l’incidente 3CX è stato effettivamente condotto dall’APT di Pyongyang.

[post_tags]

Barmanou Charming Kitten Daggerfly Dropping Elephant Gallium Lazarus Group MuddyWater NoName057(16) Operation Dream Job Operation Triple Tiang Poseidon SimplexTea Sofacy Tick

Contenuti correlati

Nuove vulnerabilità preoccupano gli esperti, tracciate offensive di APT asiatici, segnalati leak di AT&T e target italiani

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente