Weekly threats N.21

26 Maggio 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

COSMICENERGY: presunto malware OT russo causa interruzioni elettriche
APT: scoperti GoldenJackal e Volt Typhoon
Agrius: colpite entità israeliane con il ransomware Moneybird
NoName057(16): rivendicati attacchi DDoS contro siti italiani

Questa settimana tra le notizie di maggiore interesse spicca la scoperta di un malware per sistemi OT e ICS chiamato COSMICENERGY, il quale è stato caricato online nel dicembre 2021 da un utente localizzato in Russia e presenta capacità paragonabili a quelle di Industroyer e Industroyer2 del russo Sandworm. La minaccia è progettata per causare interruzioni dell’energia elettrica interagendo con i dispositivi IEC-104, come le unità terminali remote (RTU), comunemente utilizzati nelle operazioni di trasmissione e distribuzione elettrica in Europa, Medio Oriente e Asia. Si presume che il malware possa essere stato sviluppato come strumento di red teaming per simulare esercitazioni di interruzione dell’alimentazione organizzate dalla società di informatica russa Rostelecom-Solar.

Passando al panorama prettamente state-sponsored, ricercatori di sicurezza hanno scoperto due APT precedentemente non documentati chiamati GoldenJackal e Volt Typhoon. Il primo, attivo dal 2019 presumibilmente a scopo di spionaggio, solitamente prende di mira entità governative e diplomatiche in Medio Oriente e in Asia, distribuendo un toolset custom di malware scritti in .NET denominati JackalControl, JackalWorm, JackalSteal, JackalPerInfo e JackalScreenWatcher. Di matrice cinese, il secondo è invece attivo da metà 2021 e ha finora condotto attività di tipo hands-on-keyboard e usato comandi living-off-the-land per prendere di mira organizzazioni nell’isola di Guam e nel resto degli Stati Uniti operanti nei settori delle comunicazioni, manifatturiero, dei servizi pubblici, dei trasporti, edile, marittimo, governativo, informatico e dell’istruzione. Infine, il gruppo state-sponsored iraniano Agrius ha veicolato contro organizzazioni israeliane un nuovo ransomware scritto in C++, soprannominato Moneybird.

Per concludere, il collettivo hacktivista filorusso NoName057(16) ha sferrato attacchi DDoS contro diversi portali italiani, francesi, tedeschi, cechi, britannici, olandesi, finlandesi, danesi, svedesi e polacchi. Tra le vittime del nostro Paese figurano: ATM S.p.A., l’Autorità di Regolazione dei Trasporti, la Marina Militare, il Ministero delle Infrastrutture e dei Trasporti, Federcasse – BCC, il Ministero dell’Interno, Banca di Credito Cooperativo di Roma e il Consiglio Superiore della Magistratura.

[post_tags]

Agrius COSMICENERGY GoldenJackal Industroyer Industroyer2 JackalControl JackalPerInfo JackalScreenWatcher JackalSteal JackalWorm Moneybird NoName057(16) Sandworm Volt Typhoon

Contenuti correlati

Sferrate offensive in Italia, attività APT in Eurasia, avversari inediti colpiscono utenti Android in Africa e Sud Asia

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

DDoS e ransomware colpiscono l’Italia, smantellata una botnet del russo Sofacy, notificate vulnerabilità sfruttate ITW