Malware inediti utilizzati contro entità ucraine, attività state-sponsored in Asia, le ultime sulle vulnerabilità Ivanti

Ucraina: analizzate offensive basate rispettivamente su COOKBOX e IDA

In collaborazione con il Centro per la sicurezza informatica dei sistemi IT dell’unità militare ucraina A0334, il CERT-UA ha indagato su un attacco informatico mirato, condotto almeno dall’autunno 2023 e tracciato sotto il cluster UAC-0149, che ha tentato di infettare i computer dei rappresentanti delle Forze di Difesa del Paese con un malware chiamato COOKBOX. Stando a quanto osservato, il 22 febbraio 2024 un avversario non identificato ha inviato a diversi militari un messaggio contenente un documento XLS tramite l’app di messaggistica istantanea Signal. Oltre alla macro leggittima, il file conteneva codice VBA aggiuntivo che consentiva di lanciare un comando PowerShell progettato per scaricare, decodificare ed eseguire uno script PowerShell. Tale script viene scaricato da GitHub e consente di modificare il registro del sistema operativo, permettendo di lanciare un launcher decoder che garantisce l’esecuzione del payload principale. Quest’ultimo, dopo la decodifica, contiene un altro script PowerShell che avvia la decompressione GZIP e lancia COOKBOX. D’altro canto, analizzando una recente offensiva del cluster UAC-0184 contro il personale delle Forze Armate di Kiev, ricercatori di sicurezza hanno scoperto l’uso di un loader denominato IDAT usato per distribuire Remcos, oltre all’espansione del targeting dell’operazione ad altre entità ucraine con sede in Finlandia. In particolare, caratterizzato da un’architettura modulare, IDAT è un malware avanzato che carica diversi software malevoli – tra cui DanaBot, SystemBC e RedLine Stealer – e impiega caratteristiche come l’iniezione di codice e moduli di esecuzione, distinguendosi dalle minacce convenzionali. Inoltre, utilizza tecniche sofisticate, quali il caricamento dinamico di funzioni API di Windows, test di connettività HTTP, liste di blocco dei processi e syscall per eludere il rilevamento.

APT: fermento nel continente asiatico

Dalla Cina, AQUATIC PANDA ha sfruttato le relazioni tra Cina e Taiwan come esca di social engineering per infettare target selezionati nell’ambito di una campagna probabilmente attiva tra dicembre 2023 e gennaio 2024. Ad eccezione di un think tank privato con sede a Taiwan dedicato allo studio delle situazioni politiche ed economiche internazionali, al momento non è stato possibile identificare altri target; tuttavia, si sospetta che l’APT di Pechino stia pianificando di attaccare ulteriori entità legate alla politica. Sempre riguardante la Repubblica Popolare Cinese, sono emersi nuovi dettagli in merito al data leak dell’azienda privata appaltatrice del Ministero della Pubblica Sicurezza (MPS) i-Soon, i quali hanno indicato collegamenti con vari APT di Pechino, fra cui Evil Eye, Axiom e lo stesso AQUATIC PANDA. Spostandoci in Russia, il National Cyber Security Centre (NCSC) del Regno Unito, in collaborazione con altre Autorità di sicurezza informatica dei Five Eyes, ha rilasciato un advisory che illustra le TTP impiegate negli ultimi 12 mesi dal gruppo di Mosca noto come APT 29, parte dell’SVR (Služba vnešnej razvedki), per ottenere l’accesso iniziale in ambienti cloud. Per di più, un attaccante soprannominato SPIKEDWINE, presumibilmente riconducibile proprio ad APT 29, ha veicolato una backdoor modulare inedita chiamata WINELOADER contro diplomatici europei. Infine, un ulteriore advisory congiunto, questa volta emesso dall’FBI, dalla NSA, dallo US Cyber Command e altri partner internazionali, ha messo in guardia sull’uso di router Ubiquiti EdgeRouter compromessi da parte del gruppo di Mosca Sofacy per facilitare operazioni informatiche malevole in tutto il mondo, che in alcuni casi hanno previsto anche l’utilizzo della backdoor MASEPIE. Da ultimo, passando in Corea del Nord, Lazarus Group ha rilasciato sul repository ufficiale PyPI (Python Package Index) pacchetti Python malevoli contenenti il malware Comebacker, e sfruttato come 0-day la falla CVE-2024-21338 del driver AppLocker di Windows per ottenere l’accesso a livello kernel e disattivare strumenti di sicurezza, distribuendo il rootkit FudModule.

Ivanti: novità sullo sfruttamento delle falle nei gateway Connect Secure e Policy Secure

Un presunto cluster di spionaggio cinese noto come UNC5325 è stato osservato sfruttare CVE-2024-21893 per distribuire nuovi malware nel tentativo di persistere attraverso gli aggiornamenti del sistema, le patch e i reset di fabbrica, usando al contempo una combinazione di tecniche di living-off-the-land (LotL) per eludere il rilevamento. Tra gli implant inediti rilevati figurano LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITFUEL, PITJET e PITHOOK, oltre a una variante di BUSHWALK. Essendo state identificate TTP e sovrapposizioni di codice in LITTLELAMB.WOOLTEA e PITHOOK con malware utilizzato dal già documentato UNC3886, si valuta con moderata fiducia che UNC5325 sia associato a UNC3886. Quest’ultimo è noto per aver compromesso dispositivi di rete, prendendo di mira principalmente organizzazioni dei settori della Base Industriale della Difesa (DIB), tecnologico e delle telecomunicazioni situate negli Stati Uniti e nelle regioni APJ (Asia Pacific and Japan). Si segnala infine che la CISA e le Autorità di sicurezza informatica dei Five Eyes partner hanno rilasciato un advisory congiunto che mette in guardia dagli avversari che stanno sfruttando diverse vulnerabilità precedentemente identificate – CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893 – che interessano i gateway Ivanti Connect Secure e Ivanti Policy Secure. Di particolare preoccupazione per le Agenzie è il fatto che tali attaccanti sono in grado di ingannare l’Integrity Checker Tool (ICT) interno ed esterno di Ivanti, facendo sì che la compromissione non venga rilevata. Tali falle possono essere utilizzate in una catena di exploit per consentire di bypassare l’autenticazione, creare richieste malevole ed eseguire comandi arbitrari con privilegi elevati. Sulla base delle ricerche effettuate, le Autorità hanno inoltre convalidato che un attaccante può essere in grado di ottenere la persistenza a livello root nonostante il ripristino delle impostazioni di fabbrica.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.