Weekly threats N.19

12 Maggio 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Ransomware: descritti Cactus e Akira
USA: neutralizzato Snake di Turla Group
State-Sponsored: tracciate attività associate a diversi APT
Microsoft: sanata 0-day sfruttata ITW

Questa settimana tra le notizie di maggiore interesse spicca il tracciamento di due ransomware inediti denominati Cactus e Akira. Attivo almeno da marzo 2023, il primo ottiene l’accesso iniziale nelle reti target sfruttando vulnerabilità note presenti nelle appliance VPN di Fortinet e impiega la crittografia per proteggere il file binario del ransomware stesso al fine di eludere il rilevamento. Il secondo, anch’esso attivo da marzo 2023, è stato utilizzato dall’omonimo team per compromettere 16 aziende localizzate in diversi Paesi e operanti in vari settori, tra cui quelli dell’istruzione, finanziario, immobiliare, manifatturiero e della consulenza.

Passando al panorama state-sponsored, il Dipartimento di Giustizia degli Stati Uniti ha annunciato il completamento di un’operazione, denominata MEDUSA, che ha portato all’interruzione di una rete globale peer-to-peer di computer, compromessa da un sofisticato strumento di cyberspionaggio chiamato Snake e attribuito all’APT Turla Group legato all’FSB russo. Spostandoci in Asia, l’indiano Sidewinder ha condotto una campagna rivolta contro organizzazioni governative pakistane, che si è basata sull’utilizzo della tecnica del polimorfismo lato server per eludere il tradizionale rilevamento antivirus e consegnare un payload della fase successiva. Sempre nello stesso continente, in particolare in Kazakistan e Afghanistan, ricercatori di sicurezza hanno rilevato una sofisticata campagna di spionaggio nella quale è stato utilizzato un malware precedentemente non documentato, chiamato DownEx, con l’obiettivo di esfiltrare i dati delle vittime. In Medio Oriente, invece, gli APT iraniani Charming Kitten e MuddyWater stanno conducendo offensive che mirano allo sfruttamento della CVE-2023-27350 nel software di gestione delle stampe PaperCut. Infine, alcuni analisti hanno individuato diverse operazioni di spionaggio condotte a partire dal 2020 da un APT chiamato Red Stinger (Bad Magic), il quale ha preso di mira entità allineate sia all’Ucraina che alla Russia.

Concludiamo con una vulnerabilità 0-day di Microsoft sfruttata ITW. Come di consueto, martedì l’azienda di Redmond ha rilasciato il Patch Tuesday per il mese di maggio in cui viene corretta una falla di tipo Elevation of Privilege tracciata con codice CVE-2023-29336 presente nel componente Win32k, che consente a un utente malintenzionato di ottenere privilegi SYSTEM.

[post_tags]

Akira Cactus Charming Kitten CVE-2023-27350 CVE-2023-29336 DownEx MuddyWater Red Stinger Sidewinder Snake Turla Group

Contenuti correlati

Sferrate offensive in Italia, attività APT in Eurasia, avversari inediti colpiscono utenti Android in Africa e Sud Asia

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente