WEEKLY THREATS

Weekly Threats: N. 33 2018

26 Ottobre 2018

“Nell’attesa del Grande Giorno #5Nov, ci scagliamo contro la privatizzazione da parte delle multinazionali”, questa una parte del messaggio pubblicato su Twitter dal gruppo hacktvista LulzSecITA, per rilanciare la campagna OpGreenRights, vandalizzando il sito della società ACQUE VERONESI s.c.a.r.l. come protesta verso la privatizzazione delle acque.

L’Italia, insieme a Gran Bretagna e Canada, è inoltre vittima di una campagna malevola, rilevata di recente, che distribuisce un nuovo downloader identificato come sLoad. L’attore, riconosciuto come TA554 ha colpito con mail di phishing, redatte nella lingua parlata nel paese target, personalizzate in modo da includere il nome della vittima. Il downloader è in grado di raccogliere informazioni sul sistema infetto, inoltre può fare screenshot e cercare specifici domini nella cache DNS (ad esempio le banche target), nonché caricare ulteriori binari.

Nuove ombre tornano anche questa settimana sul caso delle elezioni USA. In seguito alle investigazioni dell’FBI, la cittadina russa Elena Khusyaynova è stata nei giorni scorsi messa ufficialmente sotto accusa in quanto ritenuta una delle menti della campagna di disinformazione che, dalle elezioni 2016 al midterm del prossimo novembre, ha preso piede sui social media con l’obiettivo di interferire con il processo democratico. Stando alle accuse, la donna era il capo contabile del cosiddetto “Project Laktha”, la fabbrica dei troll di San Pietroburgo. I documenti finanziari riportati nelle indagini dettagliano spese per pubblicità sui social media, registrazioni di domini, acquisto di server proxy e, immancabilmente, promozione di notizie sulle piattaforme social, per un budget totale superiore ai 35 milioni di dollari. Sebbene non tutti i fondi siano stati stanziati esclusivamente per le attività negli USA, l’atto di accusa evidenzia lo sforzo continuo da parte del Cremlino di minare il sistema a stelle e strisce.

Il governo russo – secondo quanto rivelato ieri da una nota firma di sicurezza – sarebbe dietro anche all’intrusione all’impianto petrolchimico saudita dello scorso dicembre – che ha permesso agi attaccanti di prendere il controllo di una workstation industriale SIS prodotta dalla Triconex. Il riferimento è alla minaccia per ICS nota come TRITON, attribuibile al gruppo TEMP.Veles. Si ipotizza infatti che lo sviluppo del malware possa essere stato orchestrato dal un istituto di ricerca di Mosca, il Central Scientific Research Institute of Chemistry and Mechanics (CNIIHM), al cui interno vi sono divisioni di ricerca specializzate in infrastrutture critiche, sicurezza aziendale e sviluppo di equipaggiamento militare.

Nuovi dettagli anche sulle attività di cyber spionaggio condotte dal gruppo indicato come APT-C-27 in Siria, il quale si avvale di minacce sia per sistemi Windows che Android, sfruttando – come tecniche di infezione di primo livello -i social network ed email di spear-phishing. In un caso specifico, lo scorso settembre, è stato distribuito un documento Office sul tema UNRWA (United Nations Relief and Works Agency for Palestine Refugees in the Near East) il quale con un tranello induce le vittime ad aprirlo consentendo di fatto l’esecuzione di una serie di script con funzioni di dropper i quali hanno scaricato in ultima istanza una backdoor.

Ricercatori di sicurezza, attraverso il monitoraggio di una campagna che prende di mira i sistemi Linux i cui server SSH risultano esposti in rete, hanno inoltre scoperto una nuova botnet identificata come Chalubo, la cui funzione principale è quella di lanciare attacchi DDoS. La complessità del codice di Chalubo è notevolmente più elevata rispetto alle classiche botnet per Linux. Come alcuni dei suoi predecessori, però, la stessa incorpora codice di altre note famiglie di malware come Mirai e Xor.DDoS.

Infine, un ricercatore di sicurezza (noto come SandboxEscaper) ha pubblicato di recente un post su Twitter in cui afferma di aver scoperto una vulnerabilità 0-day che affligge il popolare sistema operativo Microsoft Windows. Il ricercatore ha pubblicato anche la proof-of-concept su GitHub, specificando che il bug impatta le versioni più recenti dell’OS: Windows 10, Server 2016 e Server 2019.

[post_tags]