Presunti data leak di multinazionali e attacchi in Italia, descritte offensive APT, falle in Microsoft e Ghostscript

Cybercrime: tracciate rivendicazioni contro target internazionali e italiani

È stato rilevato su un forum underground un annuncio riguardate un presunto data leak relativo ai dati dei dipendenti di Microsoft. Stando a quanto riportato dall’autore del post, ovvero l’avversario rintracciato con lo pseudonimo 888, nel luglio 2024 l’azienda di Redmond ha subito un data breach da parte di terzi che ha esposto 2.073 record di informazioni dei suoi dipendenti. Come prova dell’avvenuta violazione, l’attaccante ha condiviso un sample che comprendeva le informazioni personali sensibili di utenti provenienti per lo più dalla Nuova Zelanda e di uno proveniente dalla Grecia. Oltre all’azienda di Redmond, tra le altre società per le quali 888 ha annunciato data leak e breach figurerebbe anche Nokia, emersa di recente, oltre ad Accenture, Credit Suisse, Shell, Heineken e UNICEF. L’avversario risulta essere iscritto al forum da agosto 2023 e gode di un’ottima reputazione. Nuove offensive sono state rilevate anche contro target italiani. In particolare, l’operatore ransomware Akira Team ha rivendicato sul proprio sito dei leak la compromissione di P448, brand italiano di calzature (sneaker), e di Esedra S.r.l. (Gruppo Esedra), realtà privata in Toscana operante nel settore dell’educazione, istruzione e formazione. Dal canto suo, DragonForce ha reclamato la violazione di Raffmetal S.p.A., azienda del Gruppo Silmar, produttrice europea di leghe di alluminio da rifusione realizzate mediante materiali da recupero quali i rottami. Infine, la Polizia Postale ha riferito di aver tracciato in Italia una nuova campagna di phishing riguardante false convocazioni giudiziarie che sfruttano il nome del Capo della Polizia – Direttore Generale della Pubblica Sicurezza, Vittorio Pisani. A seconda delle varie versioni rilevate, Pisani viene indicato a volte come capo di Europol, altre come quello della “Polizia Nazionale” o di altri corpi di polizia. Tuttavia, come per le operazioni documentate in precedenza, la convocazione in questione presenta loghi istituzionali e annuncia alla potenziale vittima un’inesistente indagine penale nei suoi confronti per i reati di pornografia infantile, pedofilia, esibizionismo e cyberpornografia. Il fine ultimo dell’avversario è quello di causare nel target uno stato di agitazione e di indurlo a ricontattarlo via e-mail entro 72 ore, inviando le proprie motivazioni. Dopo aver dato seguito a tale richiesta, l’attaccante chiederà alla vittima di pagare una somma di denaro per evitare la condanna.

 APT: rilasciate nuove informazioni su Leviathan, Turla e CloudSorcerer

Agenzie di sicurezza informatica australiane, canadesi, tedesche, giapponesi, neozelandesi, sudcoreane, britanniche e statunitensi hanno pubblicato un advisory congiunto sull’APT cinese Leviathan, mettendo in guardia sulla sua capacità di sfruttare vulnerabilità appena divulgate entro poche ore o giorni dal rilascio pubblico e sull’utilizzo di router SOHO (Small Office Home Office) per operazioni di spionaggio. L’avversario ha ripetutamente preso di mira le reti australiane e quelle del settore governativo e privato della regione. In particolare, Leviathan possiede la capacità di trasformare e adattare rapidamente Proof-of-Concept (PoC) di nuove vulnerabilità e utilizzarle immediatamente contro reti target vulnerabili. L’attaccante effettua costantemente ricognizioni contro network di interesse, compresi quelli dei Paesi delle agenzie autrici, alla ricerca di opportunità per compromettere i propri obiettivi. Questa ricognizione regolare mette il gruppo in condizione di identificare i dispositivi vulnerabili, a fine vita o non più mantenuti sulle reti e di distribuire rapidamente gli exploit. Passando alla Russia, ricercatori di sicurezza hanno osservato una presunta nuova campagna di distribuzione tramite file LNK armati del malware Turla dell’omonimo APT di Mosca. L’infezione inizia con un pacchetto malevolo scaricato da un sito web compromesso di uno dei principali quotidiani e media delle Filippine, il Philippine Daily Inquirer, il cui URL viene potenzialmente veicolato attraverso e-mail di phishing. Da tale pacchetto viene estratto un LNK dannoso mascherato da file di collegamento di un documento PDF (Advisory23-USDMS04-11-01.pdf.lnk) riguardante un advisory della Philippine Statistic Authority (PSA) che, una volta avviato, innesca il lancio di uno script PowerShell incorporato al suo interno che porta alla distribuzione di una backdoor fileless nel sistema (ovvero Turla). Infine, è stato identificato un tool di spionaggio inedito, denominato CloudSorcerer, usato per colpire entità governative russe da un omonimo APT precedentemente non documentato. La minaccia è un sofisticato strumento di cyberspionaggio utilizzato per il monitoraggio furtivo, la raccolta e l’esfiltrazione di dati tramite le infrastrutture cloud Microsoft Graph, Yandex Cloud e Dropbox. Il malware sfrutta le risorse cloud come server C2, accedendovi tramite API con token di autenticazione. Sebbene vi siano somiglianze nel modus operandi dell’attaccante con quello dell’APT dietro il framework CloudWizard (segnalato nel 2023), le differenze significative nel codice e nella funzionalità dei rispettivi tool suggeriscono che CloudSorcerer è probabilmente un nuovo avversario, forse ispirato da tecniche precedenti, che ha adottato un metodo simile per interagire con i servizi cloud pubblici.

 Vulnerabilità: rilasciati dettagli su due 0-day di Microsoft e una falla di Ghostscript

Microsoft ha rilasciato il bollettino di sicurezza per il mese di luglio che comprende 2 0-day. La prima tracciata con codice CVE-2024-38080 (CVSS 7.8) impatta Windows Hyper-V e consente a un utente malintenzionato di ottenere privilegi SYSTEM; mentre la seconda identificata con CVE-2024-38112 (CVSS 7.5) riguarda un problema di spoofing nella piattaforma MSHTML e, per essere sfruttata, richiede l’invio alla vittima di un file malevolo che questa deve eseguire. Inoltre, sono state riportate due vulnerabilità segnalate come pubbliche, ma non sfruttate. Nello specifico, CVE-2024-35264 (CVSS 8.1), una Remote Code Execution che impatta .NET e Visual Studio; e CVE-2024-37985 (CVSS 5.9), di tipo Processor Optimization Removal or Modification of Security-critical Code, che interessa Windows 11 su sistemi basati su ARM64 e consente di visualizzare la memoria heap di un processo privilegiato in esecuzione sul server. Infine, sono stati rilasciati dettagli in merito a una falla presente in Ghostscript, noto interprete del linguaggio PostScript e dei file Portable Document Format (PDF) e toolkit generale per la conversione di documenti. Nonostante le informazioni sulla vulnerabilità siano state rilasciate solo di recente, quest’ultima è stata risolta all’inizio di maggio 2024 nella versione 10.03.1. Tracciata con codice CVE-2024-29510, la falla consente una Memory Corruption e il bypass della sandbox SAFER (portando all’esecuzione di codice remoto), tramite l’iniezione di stringhe di formato con un dispositivo uniprint. Si è appreso che è disponibile un exploit Proof-of-Concept (PoC) per Linux (x86-64), il quale dimostra come attraverso CVE-2024-29510 un avversario potrebbe aggirare la sandbox -dSAFER di Ghostscript per eseguire comandi di shell sul sistema. La falla può essere attivata sia con i processori di immagini che con quelli di documenti.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.