WEEKLY THREATS

0-day sfruttate ITW, attività e tool inediti associati a diversi APT, nuove rivendicazioni ransomware

02 Ottobre 2023

Google e Cisco: sanate vulnerabilità 0-day

Come nelle settimane precedenti, anche negli ultimi 7 giorni sono emerse nuove 0-day sfruttate ITW. Google ha corretto una Heap Buffer Overflow tracciata con codice CVE-2023-5217, che risiede nella codifica vp8 della libreria libvpx. Stando a quanto riferito da una ricercatrice del TAG di Google, il problema di sicurezza è stato sfruttato da un provider di soluzioni di sorveglianza commerciale per veicolare uno spyware. La stessa falla è stata patchata anche dalla Mozilla Foundation tramite gli aggiornamenti Firefox 118.0.1, Firefox ESR 115.3.1, Firefox per Android 118.1.0 e Firefox Focus per Android 118.1.0. Dal canto suo, Cisco ha sanato una Out-of-Bounds Write identificata con codice CVE-2023-20109,dovuta a una convalida insufficiente degli attributi nei protocolli Group Domain of Interpretation (GDOI) e G-IKEv2 della funzione GET VPN.La vulnerabilità impatta i software Cisco IOS e IOS XE e potrebbe consentire a un avversario remoto autenticato, che abbia il controllo amministrativo di un membro del gruppo o di un server di chiavi, di eseguire codice arbitrario su un dispositivo interessato o di provocarne l’arresto anomalo.

APT: attività e tool inediti associati ad avversari di diversa matrice

Indagando su una serie di attacchi di spionaggio rivolti contro un governo del Sudest asiatico, ricercatori di sicurezza hanno scoperto tre distinte campagne sferrate con moderata sicurezza dai cinesi Mustang Panda e GALLIUM e da Gelsemium (di matrice incerta). Il primo ha utilizzato una nuova versione di TONESHELL e ShadowPad; il secondo, invece, ha sfruttato vulnerabilità dei server Exchange per distribuire varie webshell che fungono da gateway per l’introduzione di ulteriori strumenti e minacce, tra cui due .NET backdoor precedentemente non documentate, denominate Zapoa e ReShell, e un RAT inedito soprannominato GhostCringe; mentre il terzo ha bersagliato server IIS vulnerabili utilizzando diversi tool e tentando senza successo di distribuire i malware SessionManager e OwlProxy. Restando in Asia orientale, operazioni in corso da tempo e tuttora attive del cinese Evil Eye prendono di mira individui e organizzazioni tibetane, uigure e taiwanesi impiegando attualmente almeno tre diversi spyware Android, battezzati come BADBAZAAR, BADSIGNAL e BADSOLAR. Dal canto suo, Emissary Panda ha usato una versione inedita della backdoor custom SysUpdate per colpire nell’agosto 2023 una Telco in Medio Oriente e un governo asiatico. Sempre finanziato dal Governo di Pechino, Radio Panda ha compromesso router di rete di diverse marche (anche Cisco) tipicamente usati in filiali internazionali remote per connettersi alle reti aziendali delle loro sedi centrali negli Stati Uniti e in Giappone e veicolare malware custom. Spostandoci in Asia occidentale, all’APT emiratino Stealth Falcon è stata attribuita una sofisticata backdoor chiamata Deadglyph adoperata dal gruppo per attività di spionaggio in Medio Oriente. Infine, nell’ambito del conflitto russo-ucraino, è stata rilevata una campagna di phishing, presumibilmente condotta dall’avversario UAC-0154, volta alla distribuzione del framework C2 di post-exploitation Merlin contro l’Esercito di Kiev, utilizzando un manuale sui droni scritto in ucraino come esca.

Italia: rivendicati nuovi attacchi ransomware

Avversari ransomware hanno rivendicato offensive contro diverse entità italiane. Nello specifico, Rhysida Team ha reclamato la violazione del polo sanitario privato toscano Istituto Prosperius S.r.l.; Medusa Team ha dichiarato di aver colpito l’azienda specializzata nella distribuzione e applicazione di sistemi uditivi Acoustic Center; e l’operatore LostTrust Team ha annunciato la presunta compromissione dello studio legale Carnelutti Law Firm, della realtà tecnologica industriale Reload S.p.A. e del Gruppo Alimentare Ambrosini Holding.