Weekly Threats: N. 31 2018

12 Ottobre 2018

La scorsa settimana Bloomberg ha diffuso un articolo che denunciava la presenza nei server prodotti dalla compagnia Super Micro di chip installati surrettiziamente da subcontractor cinesi e sfruttati dal Governo di Pechino per attività di spionaggio, ma poche ore dopo la pubblicazione delle anticipazioni sono comparse le prime smentite. Super Micro ha dichiarato di non sapere nulla dell’indagine e il Governo cinese, dal canto suo, ha rammentato di essere stato uno dei proponenti del Codice di Condotta Internazionale per la Sicurezza delle Informazioni, sottoposto all’ONU.

A seguito della potenziale esposizione di informazioni sensibili di centinaia di migliaia di account – da parte di Google+ – Google ha deciso di chiudere il social. La API People della piattaforma, infatti, può essere sfruttata da sviluppatori di terze parti per accedere a informazioni sensibili.

Recentemente è stata scoperta una nuova campagna fraudolenta finalizzata all’estorsione. Gli attaccanti hanno inviato messaggi di posta elettronica scritti in inglese e in italiano nei quali fanno credere alle vittime di aver avuto accesso tramite un malware al loro computer, spiegando di averli filmati mentre visitavano siti per adulti. Per evitare conseguenze viene richiesto il pagamento di un riscatto pari a 3.000 dollari in bitcoin.

Ennesima campagna di distribuzione è stata poi registrata per Ursnif. I target – localizzati perlopiù nel Nord America e in Europa – sono organizzazioni finanziarie, della formazione e del settore energetico. Ursnif è in grado di procurarsi tra i vari i seguenti dati: informazioni di sistema, lista delle applicazioni e dei drive installati, lista dei processi in corso, indirizzi IP esterni, credenziali delle email, video dello screen in formato AVI, informazioni finanziarie via webinjection.

La Navionics, compagnia con sede a Massarosa (LU) specializzata nella realizzazione di cartografia nautica elettronica, ha lasciato esposto un database contenente informazioni su prodotti e clienti. Il contenuto ammonta a 19GB di dati di 261.259 clienti unici. A quanto risulta dalle indagini, il materiale non sarebbe stato compromesso.

Una vulnerabilità 0-day di Microsoft è stata sfruttata in attacchi mirati contro target molto selezionati e di alto livello in Medio Oriente. Il codice dell’exploit è di alta qualità ed è scritto con l’obiettivo di compromettere il maggior numero possibile di build di Windows. Gli attacchi sembrerebbero attribuibili al gruppo di presunta matrice emiratina Stealth Falcon (FruityArmor).

Recentemente è stata rilevata una campagna condotta dall’APT cinese noto come Pirate Panda (o KeyBoy) un gruppo che colpisce governi e ONG nel sud-est asiatico e organizzazioni in ambito energetico. Quest’ultima campagna vede come target principale l’ambasciata indiana in Etiopia.

Lo scorso aprile è stata tracciata l’attività di una nuova minaccia del gruppo filorusso Telebots, battezzata Exaramel. L’intero quadro ricostruito coinvolgerebbe anche NotPetya e ricondurrebbe tutte le minacce al gruppo di cyber-spionaggio russo.

Gli analisti ne hanno rintracciato due diverse versioni chiamate Win32/Exaramel e Linux/Exaramel.A e hanno ipotizzato che sia una evoluzione della nota backdoor Industroyer.

Pubblicati in questi giorni anche gli elementi riguardanti una campagna del gruppo MuddyWater contro organizzazioni governative, militari, delle telecomunicazioni e accademiche localizzate in Giordania, Turchia, Azerbaijan e Pakistan. L’operazione è condotta in parallelo con quella già nota sempre in corso in Iran e Arabia Saudita, oltre che in Mali, Austria, Russia, Iran e Bahrain. I documenti inviati tramite email di spear-phishing sono file di Word Office 97-2003 abilitati alle macro, protetti da password. Gli stessi evocano un contesto turco, pachistano o persiano. Una volta infettate le macchine gli attaccanti sono stati in grado di rubare screenshot, scaricare ulteriore codice malevolo, distruggere i drive e poi riavviare i sistemi.

È stato battezzato Gallmaker, colpisce realtà governative del Medio Oriente e dell’Europa orientale e sembra essere un gruppo APT inedito di matrice russa. Fra i target colpiti si annoverano alcune ambasciate di un paese dell’Europa dell’Est localizzate in diverse regioni del mondo e contractor della difesa e organizzazioni militari del Medio Oriente. Gallmaker non si avvale di malware, ma agisce attraverso tattiche “living off the land” (LotL) e tool pubblici.

[post_tags]

0-Day bitcoin Exaramel FruityArmor Gallmaker Google+ KeyBoy MuddyWater Pirate Panda Stealth Falcon Super Micro Telebots Ursnif

Contenuti correlati

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

L’Italia nel mirino di nuove offensive, tracciate attività state-sponsored in Asia, CVE sfruttate da avversari ransomware