WEEKLY THREATS

Weekly Threats: N. 40 2018

14 Dicembre 2018

La scorsa settimana la SAIPEM, compagnia italiana partecipata dal Gruppo ENI e da Cdp Equity che opera nel settore dell’estrazione del petrolio, è caduta vittima di un attacco informatico. Nello specifico, l’attacco sarebbe partito dall’India (Chennai) e avrebbe colpito circa 400 server. L’impatto maggiore è stato subito da quelli localizzati in Arabia Saudita, Emirati Arabi Uniti e in Kuwait; in Europa, invece, è stata coinvolta l’infrastruttura di Aberdeen (Scozia) che impiega meno di 30 persone. L’attacco, basato sul malware Shamoon, ha interessato in misura limitata anche i sistemi in Italia.

Una firma di sicurezza russa ha recentemente rivelato un imponente data leak ai danni di oltre 40.000 account di portali governativi in oltre 30 paesi. Le informazioni ottenute, username e password in chiaro, riguarderebbero per il 52% funzionari italiani. In Italia tra i Ministeri colpiti rilevano Difesa e Affari Esteri.

L’Italia torna inoltre a essere vittima di altre campagne. Ricercatori di sicurezza hanno infatti recentemente tracciato una campagna di phishing che sta colpendo il Paese grazie alla nota minaccia Gootkit. Per distribuire il malware, gli attaccanti si sono serviti di account di posta elettronica legittimi, precedentemente compromessi, appartenenti a partner commerciali delle vittime, così da indurre queste ultime a considerare affidabile la provenienza dei messaggi. Scopo principale dell’attività è quello di intercettare traffico e raccogliere informazioni e credenziali bancarie.

Di recente tracciatura anche una nuova campagna di malspam basata su Ursnif e mirata contro target italiani, fra cui si annoverano anche utenze della Pubblica Amministrazione. Un’ulteriore campagna, basata sul medesimo malware, ha invece colpito anche organizzazioni private. Nel primo caso il messaggio di posta elettronica – il cui testo non è esente da errori di ortografia –  fa riferimento ad un ordine per il quale si richiede il pagamento, rimandando a un link malevolo. Nel secondo i messaggi di posta elettronica contengono allegati XLS che rimandano al pagamento di fantomatiche fatture; quando le vittime ne abilitano le macro viene avviata la catena di infezione. 

Target italiani e bulgari sarebbero infine vittime di una recente campagna del threat actor Magecart, nello specifico sono stati compromessi 77 siti.

Microsoft ha di recente rilasciato un bollettino di sicurezza contenente le patch per 39 vulnerabilità. Da segnalare che fra di esse vi è anche uno 0-day che risulta già sfruttato in associazione ad altre vulnerabilità in attacchi mirati. Secondo quanto scoperto da una firma di sicurezza, sarebbe stata sfruttata da numerosi attori malevoli tra cui Stealth Falcon, APT emiratino, e SandCat, un gruppo recentemente scoperto che, oltre a questo 0-day e al malware conosciuto come CHAINSHOT, si serve anche del framework FinFisher/FinSpy.

Tra le campagne APT si segnalano: una nuova  del gruppo Lazarus, battezzata Operation Sharpshooter, che sfruttando il tema del “job recruitment” ha consentito agli attaccanti di mirare a compagnie attive nei settori del nucleare, dell’energia e della finanza – la maggior parte delle quali impegnate in progetti governativi o della difesa. La campagna si avvale di una minaccia battezzata Rising Sun, capace di svolgere diverse operazioni ed esfiltrare dati.

Attività malevole del gruppo di matrice indiana Dropping Elephant, tracciate a partire dal maggio scorso e risultanti ancora attive, hanno targettizzato uomini d’affari pachistani impegnati in Cina.  Gli attaccanti stanno sfruttando email di phishing contenenti allegati XLS che si mostrano come un listino dei prezzi di automobili BMW.

Infine una campagna di spear-phishing condotta dal gruppo Charming Kitten è stata indirizzata contro soggetti impegnati nel campo dei diritti civili, giornalisti, politici e attivisti che si interessano alla questione delle sanzioni contro la Repubblica Islamica dell’Iran. L’attacco risale ad alcune settimane prima del 4 novembre, giorno in cui gli Stati Uniti hanno imposto le sanzioni a Teheran ed ha avuto la finalità di raccogliere informazioni su figure politiche e autorità di altri paesi che abbiano avuto un qualche ruolo attivo o un qualche interesse per l’elaborazione di tali misure economiche e politiche.

Di qualche giorno fa la notizia che una botnet composta da oltre 20.000 siti WordPress viene utilizzata da attaccanti non identificati per infettare altri siti basati sullo stesso CMS. Questi, una volta compromessi, vengono a loro volta aggiunti alla suddetta botnet, il cui scopo principale è quello di lanciare attacchi di brute-forcing tesi a recuperare credenziali di login per altre pagine WordPress.

Infine è stato individuato un nuovo malware per Android che si finge un tool di ottimizzazione per la batteria ma in realtà è pensato per accedere all’account PayPal delle vittime e rubare denaro dall’applicazione, anche nel caso in cui sia stata attivata l’autenticazione a due fattori. L’applicazione incriminata si chiama Optimization.Android ed è presente su store di terze parti.

[post_tags]