Microsoft corregge 6 0-day, rivendicazioni e indagini in campo ransomware, fermento tra gli APT cinesi

Microsoft: rilasciato il Patch Tuesday di agosto 

Come di consueto succede ogni mese, martedì 13 Microsoft ha pubblicato il bollettino di sicurezza per il mese di agosto che comprende 93 vulnerabilità, di cui 7 critiche e 3 precedentemente corrette da Red Hat. Di queste risultano sfruttate 6 falle. La prima tracciata con codice CVE-2024-38189 è di tipo Remote Code Execution e richiede che la vittima apra un file di Microsoft Office Project malevolo su un sistema in cui la policy “Bloccare l’esecuzione di macro nei file di Office da internet” è disattivata e le impostazioni di notifica delle macro VBA non sono abilitate, consentendo di eseguire codice remoto. La seconda, identificata con codice CVE-2024-38178 e classificata come Scripting Engine Memory Corruption, necessita che un client autenticato clicchi su un link per consentire a un avversario non autenticato di avviare l’esecuzione di codice remoto. Per fare in modo che lo sfruttamento avvenga con successo, l’attaccante deve far sì che il target utilizzi Edge in modalità Internet Explorer. La quarta, rilevata con codice CVE-2024-38213, è una Security Feature Bypass che riguarda Windows Mark of the Web e consente di bypassare l’esperienza utente di SmartScreen, inviando all’utente un file malevolo e convincendolo ad aprirlo. CVE-2024-38193, CVE-2024-38106 e CVE-2024-38107, documentate rispettivamente come Windows Ancillary Function Driver for WinSock Elevation of Privilege, Windows Kernel Elevation of Privilege e Windows Power Dependency Coordinator Elevation of Privilege, sono le restanti 3 delle 6 0-day, che permettono di ottenere privilegi SYSTEM. 

Ransomware: smantellata l’infrastruttura di Radar/Dispossessor e rivendicate nuove vittime italiane  

In ambito internazionale, l’FBI di Cleveland ha annunciato lo smantellamento dell’infrastruttura di un gruppo ransomware chiamato Radar/Dispossessor, guidato da un individuo noto come “Brain”, a seguito di un’indagine condotta in collaborazione con la National Crime Agency del Regno Unito, la Procura di Bamberg (Germania), l’Ufficio di Polizia Criminale della Baviera (BLKA) e l’Ufficio del Procuratore degli Stati Uniti per il distretto settentrionale dell’Ohio. L’azione ha permesso lo smantellamento di 24 server associati alla banda cybercriminale, di cui 3 statunitensi, 3 britannici e 18 tedeschi, oltre alla rimozione di 9 domini, 8 negli Stati Uniti e 1 in Germania. Attivo dall’agosto 2023, Radar/Dispossessor ha preso di mira aziende e organizzazioni di piccole e medie dimensioni nei settori manifatturiero, dell’istruzione, sanitario, dei servizi finanziari e dei trasporti. Inizialmente l’attività dell’avversario era focalizzata su entità negli Stati Uniti, tuttavia, l’indagine ha portato alla scoperta di 43 vittime localizzate in Argentina, Australia, Belgio, Brasile, Honduras, India, Canada, Croazia, Perù, Polonia, Regno Unito, Emirati Arabi Uniti e Germania. Spostandoci in Italia, diversi operatori ransomware hanno rivendicato la compromissione di realtà del Paese. Nello specifico, l’inedito Helldown ha annunciato la violazione di Albatross S.r.l. e Azienda Trasporti Pubblici S.p.A. (ATP S.p.A.); Black Suit di FOR REC S.p.A.; CiphBit di F.D. S.r.l.; RansomHub Team di ISNART – Istituto Nazionale Ricerche Turistiche; e, infine, Hunters International Team di BTS Biogas S.r.l. 

APT: nuove segnalazioni su Axiom, APT31 ed Emissary Panda 

Ricercatori di sicurezza hanno osservato che a partire dalla fine del 2022 il gruppo state-sponsored cinese Axiom ha esteso le sue attività oltre la regione indo-pacifica all’Europa, al Medio Oriente e all’Africa, prendendo di mira Paesi come l’Italia, la Germania, gli Emirati Arabi Uniti e il Qatar, con presunte attività malevole riscontrate anche in Georgia e Romania. Oltre a ciò, nelle campagne più recenti l’avversario ha aggiornato le sue TTP, utilizzando applicazioni pubbliche come punti di ingresso per gli attacchi, per poi distribuire sofisticati malware – tra cui i loader StealthVector e DodgeBox (StealthReacher) e la backdoor modulare MoonWalk (SneakCross) – e tool di post-exploitation, quali Rakshasa, Tailscale, MEGAcmd e un tool iox custom. Quanto ad APT31 ed Emissary Panda, si ritiene che stiano probabilmente lavorando insieme a una campagna di spear phishing, denominata EastWind, condividendo attivamente conoscenze e strumenti di attacco. L’operazione è rivolta contro organizzazioni governative e aziende IT russe e ha previsto l’invio di e-mail con allegati archivi RAR contenenti file LNK malevoli che portano all’installazione di una versione aggiornata della backdoor CloudSorcerer e di due malware chiamati GrewApacha e PlugY, attribuibili rispettivamente ad APT31 ed Emissary Panda.