Novità nel panorama APT, campagne e malware inediti, notificati diversi data breach

Vulnerabilità critiche in n8n, l’Italia nel mirino di attività di phishing e ransomware, le ultime dalla Cina

 Vedi tutte
Threat Intelligence, News

Sfruttate falle per distribuire ransomware, offensive in Italia, malware inediti distribuiti in Ucraina

Vulnerabilità: sfruttate falle Microsoft e campagne ransomware contro SonicWall

A seguito di un’indagine sullo sfruttamento dell’exploit chain ToolShell, è stata tracciata la distribuzione tramite download da un dominio italiano di un ransomware denominato 4L4MD4R, che risulta essere una variante di un ransomware open-source chiamato Mauri870. L’offensiva è stata scoperta a causa di un tentativo di attacco fallito che coinvolgeva un comando PowerShell codificato, durante il quale avversari hanno cercato di usare un loader progettato per scaricare ed eseguire il ransomware. In particolare, il comando PowerShell ha tentato di disabilitare il monitoraggio in tempo reale e di bypassare la convalida dei certificati. Secondo quanto esaminato, il payload di 4L4MD4R risulta essere compresso con UPX e scritto in GoLang. Sempre in ambito vulnerabilità e ransomware, SonicWall ha indagato su un aumento di attacchi basati sul ransomware Akira rivolti contro i firewall Gen 7 con SSLVPN abilitato. Stando a quanto emerso, la catena d’attacco inizia con una violazione dell’appliance SonicWall stessa. In seguito, sono state osservate tecniche di post-exploitation che variano a seconda dell’incidente e includono l’enumerazione, l’evasione del rilevamento, il movimento laterale e il furto di credenziali. Il vendor ha dichiarato che le attività malevole non derivano da una 0-day, come inizialmente si credeva, ma sono correlate a una falla già nota documentata nel 2024.  Tracciata con codice CVE-2024-40766, si tratta di un problemadi tipo Improper Access Control che può permettere accessi non autorizzati e, in certi casi, il crash del firewall. Questa vulnerabilità era già stata sfruttata in passato nell’ambito di operazioni ransomware firmate Akira Team. SonicWall ha riferito di star attualmente investigando meno di 40 incidenti, molti dei quali riguardano migrazioni   da firewall Gen 6 a Gen 7, dove non sono state trasferite e reimpostate le password degli utenti locali, come invece indicato nell’advisory originale

Italia: nuove offensive colpiscono il Paese

Nella settimana appena conclusa diversi avversari hanno rivendicato attacchi contro target italiani. Partendo dal panorama ransomware, IMN CREW ha reclamato l’intrusione nell’azienda One Gold S.r.l. appartenente al settore orafo-argentiero e specializzata nella lavorazione dei metalli preziosi e non. Sarcoma Group ha affermato di aver colpito un target italiano non specificato; mentre un gruppo chiamato Black Nevas ha dichiarato la sua responsabilità dietro l’attacco a Promosfera S.r.l., agenzia di Casorate Sempione (VA), specializzata in concorsi e operazioni a premio in Italia e nel mondo. In aggiunta, Space Bears ha reclamato la violazione di TRIVENETA VETRO S.r.l., azienda italiana specializzata nell’ideazione, progettazione e distribuzione di contenitori in vetro; e Lynx Team quella di Admiral Gaming Network S.r.l., concessionaria di rete telematica di apparecchi da intrattenimento – del segmento ADI (AWP e VLT) – del Gruppo NOVOMATIC Italia. Per quanto riguarda le operazioni di phishing, sono stati osservati attacchi mirati al personale e agli iscritti delle università di Pisa (UniPi) e Padova (Unipd), che sfruttavano pagine fraudolente progettate per esfiltrare credenziali istituzionali. Nell’ambiente underground, invece, è stata recentemente rilevata un’attività di vendita illegale di documenti d’identità ad opera di un avversario noto con il nome mydocs, che ha rivendicato la compromissione di quattro strutture alberghiere italiane, tra cui l’Hotel Regina Isabella dell’isola di Ischia (NA), Casa Dorita di Milano Marittima, Ca’dei Conti di Venezia e Hotel Continentale di Trieste. Il leak dell’Hotel Regina Isabella includerebbe oltre 30.000 scansioni ad alta risoluzione e foto di documenti di identità degli ospiti in formato JPG, PNG e PDF. Per quanto riguarda Casa Dorita e Ca’dei Conti, sarebbero in vendita rispettivamente 2.300 e 20.000 scansioni e immagini di passaporti e carte di identità dei clienti. Infine, in relazione all’Hotel Continentale, l’attaccante ha affermato di vendere oltre 17.000 scansioni di passaporti e carte d’identità ad alta risoluzione degli ospiti, raccolti durante le operazioni di check-in KYC dell’hotel. In tutti i casi l’avversario ha condiviso alcuni sample come prova delle avvenute violazioni.

Ucraina: distribuiti malware inediti contro target del settore governativo, militare e della Difesa

Il Computer Emergency Response Team di Kiev (CERT-UA) ha rilevato attacchi informatici del cluster UAC-0099 rivolti contro agenzie governative, militari e aziende della Difesa in Ucraina. Secondo le indagini effettuate, l’attacco inizia con e-mail di phishing, principalmente inviate tramite UKR[.]NET, contenenti link che scaricano un doppio archivio con un file HTA. Questo file esegue un VBScript che, a sua volta, crea altri file che portano all’esecuzione del loader MATCHBOIL, un programmato in C# progettato per rilasciare malware aggiuntivi come MATCHWOK e DRAGSTARE. In particolare, MATCHWOK risulta essere una backdoor che esegue comandi PowerShell e invia i risultati a un server remoto. DRAGSTARE, invece, è un infostealer che raccoglie informazioni di sistema, dati dai browser, file specifici dalle cartelle Desktop, Documenti e Download, screenshot e comandi PowerShell ricevuti da un server controllato dagli attaccanti.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center, ora parte dell’area Threat Intelligence & Response di Telsy

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence