Weekly Threats: N. 19 2018

La scorsa settimana è stata caratterizzata da un nuovo colpo del gruppo hacktivista Anonymous Italia, responsabile di un data breach all’ospedale Sant’Andrea di Roma allo scopo di evidenziare problemi e disagi del settore sanitario sul tema della privacy: sono infatti stati resi pubblici oltre 12.000 record di clienti fornitori e medici della struttura.

Restando in Italia, alcuni utenti e organizzazioni sono stati interessati da un’ondata di malspam che veicolava malware per sistemi Windows tramite finte comunicazioni di DHL.

Il panorama internazionale è stato invece scosso dall’accusa ufficiale mossa, dopo le investigazioni di Mueller, dagli USA a 12 ufficiali russi colpevoli di aver manipolato le elezioni presidenziali americane del 2016. L’accusa ha svelato organigramma, infrastrutture  e attività delle unità 26165 e 74455 del GRU, incaricate rispettivamente di compromettere i sistemi, sottrarre le informazioni e curare le azioni sui social media.

Settimana intensa anche per le campagne APT. La prima, collegata ancora alle attività russe in territorio USA, vede protagonista il team APT28 che, tramite un portale di Microsoft che si spacciava per legittimo e sfruttando tecniche di phishing, ha preso di mira tre candidati alle elezioni di medio termine del Congresso USA.

Attiva dalla metà del 2107 ma ancora in corso, la campagna che ha avuto come obiettivo istituzioni governative ucraine, avvalendosi di tre diversi RAT – Quasar, Sobaken e Vermin – distribuiti tramite email contenenti allegati malevoli.

Sidewinder è invece il nome dell’APT indiano che ha preso di mira l’infrastruttura militare pachistana – nello specifico la Marina Militare – attraverso un documento RTF che contiene due oggetti OLE malformati, uno dei quali sfrutta la nota vulnerabilità CVE-2018-11882.

La branca dell’APT nordcoreano Lazarus, conosciuta come Andariel, è stata responsabile di attacchi di tipo watering hole che hanno colpito un’organizzazione no profit e tre sindacati della Corea del Sud alla scopo di procurarsi informazioni su potenziali target.

Infine, è tornato alla ribalta Magniber il ransomware noto per colpire esclusivamente utenti sudcoreani. Questa volta la minaccia ha ampliato il proprio raggio di azione mietendo vittime anche in altri Stati asiatici (Taiwan e Hong Kong in particolare); inoltre il codice risulta più sofisticato rispetto alle versione precedenti e la distribuzione è avvenuta attraverso lo sfruttamento dello 0-day tracciato come CVE-2018-8174.

[post_tags]