Weekly threats N.20

19 Maggio 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

State-Sponsored: nuove campagne condotte da gruppi cinesi e da un APT pro-Houthi
Sofacy: phishing contro la società civile ucraina
Cybercrime: novità dal mondo ransomware

Nella settimana che sta per concludersi nuove offensive sono state tracciate nel panorama state-sponsored. Lancefly è il nome di un nuovo APT di matrice presumibilmente cinese che ha utilizzato una backdoor custom, denominata Merdoor, in attacchi mirati a organizzazioni con sede in Asia meridionale e sudorientale, appartenenti a diversi settori quali governativo, dell’aviazione, dell’istruzione e delle telecomunicazioni. Le operazioni in questione rientrano nell’ambito di una campagna di spionaggio iniziata a metà del 2022 e proseguita nel primo trimestre del 2023. Sempre in Cina, da gennaio 2023, una serie di attacchi attribuibili a Mustang Panda ha mirato a enti europei che si occupano di affari esteri. L’analisi di queste attività ha portato alla luce un implant malevolo fatto su misura per i router TP-Link, il quale presenta diversi componenti, tra cui una backdoor custom denominata Horse Shell. D’altra parte, a partire da aprile 2022, ricercatori di sicurezza hanno monitorato una campagna di spionaggio (tuttora in corso) condotta a sostegno del movimento pro-Houthi in Yemen da un APT inedito chiamato OilAlpha e rivolta contro entità dei settori non governativo, dei media, umanitario e politico localizzate nella penisola arabica. L’operazione ha previsto l’utilizzo di chat di messaggistica istantanea (specialmente WhatsApp) e URL shortener, al fine di condurre attacchi di ingegneria sociale e veicolare sotto forma di applicazioni Android RAT come SpyNote e SpyMax.

Passando al conflitto russo-ucraino, l’APT di Mosca Sofacy è stato visto utilizzare molteplici tecniche di phishing per colpire la società civile ucraina. In particolare, la maggior parte delle pagine di phishing individuate ha come obiettivo il servizio di webmail UKR.NET, molto diffuso in Ucraina. Nello specifico, per condurre le offensive il gruppo ha utilizzato la tecnica del Man-in-the-Browser, servizi pubblici di debug/webhook HTTP (come Pipedream e Webhook) e router Ubiquiti compromessi.

Concludiamo la rassegna con alcune notizie dal mondo cybercrime. È stato individuato un nuovo gruppo ransomware chiamato RA Group, che opera almeno dal 22 aprile 2023 compromettendo aziende dei settori manifatturiero, assicurativo, finanziario e farmaceutico negli Stati Uniti e in Corea del Sud con il proprio encryptor basato sul codice sorgente trapelato di Babuk. Infine, l’FBI, la CISA e l’Australian Cyber Security Centre (ACSC) hanno rilasciato un advisory congiunto per diffondere gli IoC raccolti e le TTP analizzate inerenti al gruppo ransomware BianLian Team. Inizialmente, l’operatore impiegava la tecnica della doppia estorsione, criptando i sistemi dopo aver rubato i dati dalle reti target. Tuttavia, da quando nel gennaio 2023 è stato rilasciato un decryptor gratuito per il ransomware, l’avversario sembrerebbe essere passato all’estorsione basata sul furto di dati senza l’uso della crittografia.

[post_tags]

BianLian Team Horse Shell Lancefly Merdoor Mustang Panda OilAlpha RA Group Sofacy SpyMax SpyNote

Contenuti correlati

Sferrate offensive in Italia, attività APT in Eurasia, avversari inediti colpiscono utenti Android in Africa e Sud Asia

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente