Weekly Threats: N. 18 2018

La scorsa settimana sono state tracciate nuove campagne basate sul trojan bancario Ursnif e mirate contro target italiani. Il lancio massivo delle email per la distribuzione, contenenti allegati malevoli, è stato affidato alla botnet Necurs che di recente è stata dotata di un modulo, capace di esfiltrare credenziali da Internet Explorer, Chrome e Firefox e di inviare email sfruttando gli account registrati sulle macchine target.

Una compromissione ha riguardato invece due pagine del sito ufficiale di VSDC deputate al download di Free Video Editor, al fine di distribuire una versione malevola dell’editor video gratuito. Gli attacchi sono stati lanciati da un IP che punta in Lituania. Le vittime si segnalano in oltre 30 Paesi, dei quali il più colpito risulta essere l’Ucraina; tra gli stessi figura anche l’Italia.

Anche la settimana trascorsa vede Facebook al centro del ciclone per l’ennesimo accesso ai dati, concesso questa volta al colosso russo Mail.ru. che risulta essere fra le compagnie coinvolte nell’investigazione sull’uso dei dati, avviata a seguito dello scandalo “Cambridge Analytica”. La stessa avrebbe implementato centinaia di applicazioni che hanno operato sul social, ma secondo quanto dichiara Facebook, alcune delle app erano esclusivamente di test.

Prosegue inoltre sul terreno Cyber lo scontro tra Russia e Ucraina. I servizi segreti ucraini hanno accusato la Russia di aver lanciato attacchi che avrebbero potuto danneggiare il sistema di approvvigionamento e depurazione delle acque in tutto il Paese, con una campagna che avrebbe avuto fra i target anche la stazione LLC Aulska che fornisce cloro liquido da addizionare alle acque durante il trattamento.

Ricercatori di sicurezza hanno recentemente condotto un’analisi sulle attività del gruppo APT cinese noto come Leviathan, portando alla luce un’ampia campagna che rivela forti interessi cinesi nella politica cambogiana. La campagna avrebbe compromesso infatti numerosi enti connessi al sistema elettorale del paese tra cui organi governativi che sovrintenderanno alle prossime votazioni (previste per il 29 luglio) e riguardato casi di spear phishing contro figure di spicco dei partiti di opposizione.

Risalirebbero invece almeno al 2011 le attività di spionaggio condotte da un gruppo battezzato APT-C-12, alias Sapphire Mushroom (BlueMushroom). La lunga campagna – Operation NuclearCrisis – vedrebbe la predilezione di temi legati al nucleare. I target appartengono ai settori governativo, dell’industria militare, della ricerca scientifica e della finanza localizzati soprattutto nella Cina continentale, ma anche delle sedi estere di organizzazioni cinesi. Negli anni sono stati tracciati oltre 670 sample delle minacce impiegate dal team e fra gli indicatori di rete si contano oltre 40 domini dinamici e relativi IP del C&C.

“The Big Bang”, questo il nome di una campagna di sorveglianza contro numerose istituzioni mediorientali e in particolare contro le autorità palestinesi, che potrebbe essere collegata, nonostante non vi siano ancora attribuzioni certe, al gruppo Gaza Cybergang (Molerats), a causa dei target e delle tecniche di attacco utilizzate. La campagna, ancora allo stadio di ricognizione, permette di veicolare un malware composto da numerosi moduli che gli consentono tra le varie attività di fare screenshot e inviarli al server C&C, produrre una lista dei documenti, registrare informazioni sul sistema, eseguire file, riavviare le macchine e autodistruggersi.

In ultimo, continua a colpire in Asia Orientale – nello specifico a Taiwan – il team dedito al cyber-spionaggio di matrice industriale BlackTech. Recentemente sono stati sfruttati certificati sottratti alle compagnie D-Link e Changing Information Technology in particolare uno stealer di password consentirebbe di raccogliere credenziali da Chrome, Internet Explorer, Outlook e Firefox.

[post_tags]