L’Italia nel mirino di vari attacchi, attività finanziate da APT mediorientali e cinesi, rivendicazioni cybercrime inedite

Italia: phishing ai danni del MAECI e rivendicazioni ransomware e hacktiviste

La scorsa settimana sono state tracciate due campagne di phishing ai danni del Ministero degli Affari Esteri e della Cooperazione Internazionale (MAECI), condotte attraverso domini appositamente creati al fine di rubare le credenziali di accesso sia degli utenti che richiedono il visto per l’Italia sia dei dipendenti interni intenti a scaricare il client VPN adoperato dall’Ente. In campo ransomware, invece, Black Basta Team ha annunciato la compromissione di Atos S.p.A., società specializzata nel campo dell’elettroidraulica; Everest Team dello STUDIO NOTARILE BUCCI – OLMI; mentre RansomHub Team di Erma Group S.r.l., azienda di riferimento per la produzione, distribuzione e commercializzazione di ricambi per macchine movimento terra e agricole. Ad essi si aggiungono anche D#nut Leaks il quale ha pubblicato oltre 1.2 TB di dati appartenenti a Diatech Lab Line S.r.l., realtà distributrice di prodotti per la ricerca biomedica, e Mad Liberator che ha rilasciato le informazioni esfiltrate a seguito della presunta violazione del Ministero della Cultura (MiC) italiano. Stando a quanto riportato da quest’ultimo, i record divulgati includono dati interni riservati, documenti personali dei dipendenti, progetti, curriculum vitae, circolari, bandi e comunicazioni. Passando al versante hacktivista, il 13 luglio 2024 il collettivo italiano AzzaSec ha rivendicato tramite il proprio canale Telegram offensive contro i seguenti target italiani: Servizi Cinema Italia, Sensitivo Alessandro e S.I.A. – Società d’Informatica Avanzata S.r.l. L’avversario ha eseguito gli attacchi a sostengo della causa palestinese, usando gli hashtag #freepalestine e #stopgenocide e dichiarando che il governo italiano pro-Ucraina pagherà per le sue azioni. Nella stessa giornata il gruppo ha colpito anche la società di servizi di consulenza Rolex-Rolls e la banca brasiliana Banco Bradesco SA. Nel caso di S.I.A. e Banco Bradesco AzzaSec ha richiesto un riscatto, rispettivamente di 500 e 750 €.

APT: segnalate operazioni in Medio Oriente e Cina

Ricercatori di sicurezza hanno scoperto uno spyware per Android denominato GuardZoo, utilizzato da un attaccante yemenita allineato con gli Houthi per colpire il personale militare di diversi Paesi del Medio Oriente. La notizia segue la rivelazione di nuove applicazioni Android malevole e infrastrutture di supporto ritenute quasi certamente associate all’APT pro-Houthi OilAlpha, il quale sembra orientato a colpire le organizzazioni umanitarie e per i diritti umani che operano nello Yemen e potenzialmente in tutto il Medio Oriente. Nella stessa area geografica e più precisamente in Iran, si è fatta luce su una nuova backdoor custom battezzata BugSleep, impiegata in sostituzione a strumenti di gestione remota (RMM) legittimi nelle recenti campagne di MuddyWater con lo scopo di colpire realtà principalmente in Israele. Spostandoci in Cina, Axiom sta utilizzando una versione avanzata e aggiornata del malware StealthVector, soprannominata DodgeBox, per fornire una backdoor precedentemente non documentata chiamata MoonWalk. Sempre finanziato da Pechino, secondo quanto riportato dal JPCERT/CC, l’APT Stone Panda a partire dal 2019 ha adoperato malware come LODEINFO e una minaccia inedita nominata NOOPDOOR per colpire media, entità politiche, think tank, università, industrie manifatturiere e istituti di ricerca. Infine, è stata identificata una presunta campagna di spionaggio condotta da un gruppo di matrice sconosciuta, tracciato sotto il cluster TAG-100, che ha previsto l’uso di strumenti open-source e ha preso di mira organizzazioni governative, intergovernative e private di alto profilo a livello globale. Per l’accesso iniziale, tale operazione ha previsto lo sfruttamento di un’ampia gamma di dispositivi rivolti a internet, tra cui Citrix NetScaler ADC e Gateway, F5 BIGIP, Zimbra Collaboration Suite, Microsoft Exchange, SonicWall, Cisco Adaptive Security Appliances (ASA), Palo Alto Networks GlobalProtect e Fortinet FortiGate.

Cybercrime: presunti accessi a realtà sudcoreane e dati NATO in vendita nell’underground

IntelBroker ha pubblicato su un forum underground 3 diversi post nei quali ha annunciato di aver avuto accesso ai portali di due agenzie governative e di una Forza di Polizia della Corea del Sud – tra cui presumibilmente la Korean National Police Agency (KNPA) – e di mettere tali accessi in vendita a potenziali acquirenti. Stando a quanto riportato dall’attaccante, i portali delle due agenzie e quello della Forza di Polizia sarebbero in vendita rispettivamente al prezzo di 500, 4.000 e 800 dollari (circa 458, 3.665 e 732 euro) da corrispondere in criptovaluta Monero (XMR). Ciononostante, la veridicità delle affermazioni rimane non verificata a causa della mancanza di conferme o smentite ufficiali. Sempre nell’underground, un utente di nome Vadimblyaa ha messo in vendita informazioni personali di oltre 6.000 dipendenti NATO, ottenute a seguito di un presunto data breach che sarebbe avvenuto il 13 luglio 2024. Tuttavia, anche in questo caso non è possibile confermare l’autenticità della dichiarazione, poiché non risulta essere stato rilasciato alcun comunicato stampa ufficiale sull’accaduto.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.