WEEKLY THREATS

Weekly Threats N. 18 2023 

05 Maggio 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Ransomware: nuove offensive colpiscono l’Italia
  • APT: attivi gruppi cinesi, nordcoreani, iraniani e russofoni

Anche questa settimana nuove offensive ransomware hanno colpito l’Italia. Medusa Team ha rivendicato sul proprio sito dei leak la compromissione di Alto Calore Servizi S.p.A.; mentre ALPHV Team ha colpito AECO S.r.l. Dal canto suo, Monti Team ha bersagliato l’Azienda Sanitaria Locale (ASL) 1 Avezzano, Sulmona, L’Aquila, affermando di essere in possesso di 522 GB di dati inerenti ai pazienti. In particolare, fonti giornalistiche locali riportano che la direzione dell’ASL ha riferito che il blocco del sistema informatico si è registrato nella notte tra martedì 2 e mercoledì 3 e che tecnici aziendali e una task force si sono messi immediatamente al lavoro per risolvere il problema. Tuttavia, stando a quanto raccontato dai quotidiani, la direzione ha inoltre rassicurato i cittadini sul fatto che nessun dato sanitario o sensibile è stato trafugato o perduto in quanto l’archivio informatico è integro.

Passando al panorama state-sponsored, diverse nuove attività sono state rilevate nel continente asiatico. Dalla Cina, ricercatori di sicurezza hanno recentemente tracciato una nuova variante Linux del malware PingPull e una backdoor precedentemente non documentata identificata come Sword2033, utilizzate dal gruppo GALLIUM. Sempre da Pechino, Mustang Panda ha condotto una campagna che, sulla base di diversi riferimenti all’attuale Ministro del Commercio Don Farrell, gli analisti ritengono sia rivolta contro l’Australia. Passando alla Corea del Nord, all’APT ScarCruft sono stati attribuiti attacchi di spear phishing – tuttora in corso – volti alla distribuzione di una nuova variante di BabyShark denominata ReconShark. Inoltre, l’avversario è stato visto utilizzare file LNK sovradimensionati che avviano catene di infezione a più stadi per veicolare i malware RokRAT, Goldbackdoor e Amadey. Passando all’Iran, dal marzo 2020, un nuovo spyware per Android denominato BouldSpy, attribuito con moderata fiducia al Comando delle Forze dell’Ordine della Repubblica Islamica dell’Iran (FARAJA), ha colpito più di 300 persone, inclusi gruppi minoritari iraniani, tra cui curdi iraniani, baluci, azeri e gruppi cristiani armeni. Gran parte delle attività del malware si sono verificate durante l’apice delle proteste contro l’uccisione di Mahsa Amini alla fine del 2022. Infine, al gruppo russofono DustSquad è stata ricondotta una campagna di spionaggio a sfondo politico attiva dal 2020 denominata Paperbug e rivolta contro target del Tagikistan. In particolare, l’APT si è infiltrato nell’ambiente di un provider Telco tagiko e nelle macchine dei suoi dipendenti per poi muoversi lateralmente nei sistemi di almeno altre 18 vittime.

[post_tags]