WEEKLY THREATS

Weekly Threats N. 17 2023

28 Aprile 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Italia: segnalate nuove offensive DDoS e ransomware
  • State-Sponsored: tracciati tool inediti e attività associati ad APT asiatici, mediorientali e russi
  • TA505 e LockBit Team: sfruttati bug del software PaperCut

Anche questa settimana nuove offensive hanno preso di mira il Bel Paese. Il collettivo hacktivista filorusso NoName057(16) ha sferrato attacchi DDoS contro diversi portali italiani, oltre a siti canadesi, estoni, polacchi e britannici. Tra le vittime del nostro Paese figurano: Banca d’Italia, il Ministero dell’Economia e delle Finanze, BPER Banca, Mediobanca, Banca Popolare di Sondrio, Credito Cooperativo, Fingenia Soluzioni Finanziarie, Generali Italia, SACE, Sella Personal Credit e Unipol Gruppo. Dal canto loro, i gruppi ransomware RansomHouse e LockBit Team hanno rivendicato la compromissione rispettivamente di OMT Officine Meccaniche Torino S.p.A. e del gruppo sanitario MultiMedica. Infine, alcuni applicativi informatici regionali e delle aziende sanitarie del Friuli Venezia Giulia hanno subito un attacco DDoS – presumibilmente di tipo flood DNS – che è stato immediatamente bloccato dai tecnici della società ICT in house Insiel S.p.A.

Passando al panorama state-sponsored, le indagini sull’attacco del nordcoreano Lazarus Group alla supply chain del software X_TRADER – che ha portato alla campagna 3CX – hanno permesso di identificare tra le vittime due infrastrutture critiche del settore energetico negli Stati Uniti e in Europa, oltre a due organizzazioni coinvolte nel trading finanziario. Sempre probabilmente associato all’APT di Pyongyang, alcuni ricercatori hanno individuato un malware inedito per macOS chiamato RustBucket e utilizzato dal gruppo per scaricare ed eseguire vari payload sulle macchine target. Restando nel continente asiatico, è stata scoperta un’operazione risalente al 2020 del cinese Evasive Panda che ha previsto il dirottamento dei canali di aggiornamento automatico di popolari applicazioni legittime sviluppate da aziende cinesi per fornire un installer della backdoor custom MgBot contro target della Cina continentale. Spostandoci in Medio Oriente, invece, Charming Kitten ha distribuito una versione aggiornata di PowerLess contro entità israeliane, oltre a un malware custom precedentemente non documentato denominato BellaCiao contro target negli Stati Uniti, in Europa, Medio Oriente e India. Dal canto suo, il russo Sofacy ha preso di mira organizzazioni statali ucraine inducendole a scaricare uno script PowerShell con la scusa di effettuare un aggiornamento Windows. Infine, ricercatori di sicurezza hanno osservato il gruppo russo che si cela dietro l’omonima backdoor Tomiris prendere di mira entità governative e diplomatiche della Comunità degli Stati Indipendenti (CSI) concentrandosi principalmente sulla raccolta di informazioni in Asia centrale.

Per concludere, TA505 e LockBit Team hanno sfruttato le vulnerabilità del software per la gestione delle stampe PaperCut – CVE-2023-27350 e CVE-2023-27351 – in attacchi che hanno portato alla distribuzione di malware come TrueBot e Cobalt Strike, e i ransomware Clop e LockBit.

[post_tags]