Colpite realtà italiane, tracciate offensive di APT iraniani, nuove operazioni in Ucraina

Italia: attacchi informatici al Comune di Sorso, al Gruppo Teddy e ad AUXIT

Il 16 ottobre 2024 il Comune di Sorso, situato nella provincia di Sassari in Sardegna, ha riferito sul proprio sito ufficiale di aver subito nella notte del 13 un’intrusione nel suo sistema informatico da parte di soggetti sconosciuti e attualmente non identificati, che sta compromettendo l’operatività dei servizi comunali. Stando a quanto riportato, sono in corso tutti gli accertamenti e le verifiche del caso per identificare l’origine dell’accaduto e valutarne le conseguenze. Alcune fonti locali riferiscono si tratti di un attacco ransomware e che sia stato chiesto un riscatto; tuttavia, non sembrerebbe ancora essere stata pubblicata alcuna rivendicazione. Inoltre, il Gruppo Teddy (Teddy S.p.A.), azienda di moda italiana riminese (RN) proprietaria di quattro marchi quali Terranova, Rinascimento, Calliope e QB24, ha subito un attacco informatico che ha causato il blocco del server del suo centro di distribuzione logistico con sede a Gatteo (FC) con gravi ripercussioni sulle vendite online. Secondo quanto riportato dai media, l’offensiva è avvenuta lo scorso 7 ottobre e sarebbe di natura ransomware anche se, stando a quanto precisato dall’azienda, sembrerebbe non essere pervenuta alcuna richiesta di riscatto. La società avrebbe inoltre riferito che, non appena rilevato l’incidente, sono state attivate tutte le misure di sicurezza necessarie, isolati i sistemi interessati e allertate le autorità competenti. Grazie a questo, sembrerebbe che il Gruppo sia riuscito a contenere la minaccia e a prevenire la perdita di informazioni, dal momento che non ha identificato evidenze di dati trafugati. Per alcuni giorni sono state sospese le vendite online ed è stata effettuata una bonifica generale della struttura informatica aziendale e dei suoi dispositivi, in modo da permettere la graduale ripresa dell’ordinaria operatività in sicurezza. Infine, Sarcoma Group ha rivendicato sul proprio sito dei leak la compromissione di AUXIT S.r.l., azienda italiana che offre servizi di consulenza in materia di hardware e software per l’elaborazione elettronica dei dati e conservazione dei documenti.

State-sponsored: gruppi iraniani mirano all’Occidente e alla regione del Golfo

L’FBI, la CISA, l’NSA, il Communications Security Establishment Canada (CSE), la Australian Federal Police (AFP) e l’Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) hanno pubblicato un advisory congiunto per mettere in guardia sull’uso da parte di avversari iraniani del brute forcing e di altre tecniche per compromettere diverse infrastrutture critiche appartenenti ai settori sanitario, governativo, informatico, ingegneristico ed energetico. Gli attaccanti mirano probabilmente a ottenere credenziali e informazioni che descrivono la rete della vittima, che possono poi essere vendute per consentire l’accesso ai criminali informatici. Oltre a ciò, negli ultimi mesi, ricercatori di sicurezza hanno osservato un notevole aumento degli attacchi informatici dell’iraniano OilRig, che ha preso attivamente di mira le entità governative degli Emirati Arabi Uniti (EAU) e della più ampia regione del Golfo. Stando a quanto analizzato, il gruppo utilizza tattiche sofisticate che includono l’implementazione di una backdoor inedita che sfrutta i server Microsoft Exchange on-premises per il furto di credenziali, inclusi account e password, e lo sfruttamento della vulnerabilità del kernel di Windows CVE-2024-30088 per l’escalation dei privilegi. Tale backdoor presenta notevoli somiglianze, sia a livello di codice che di funzionalità, con un’altra backdoor precedentemente documentata e attribuita allo stesso avversario. Le sue principali funzioni includono: il recupero delle credenziali utente e dei dati di configurazione necessari per l’invio delle e-mail, e l’invio di un messaggio di posta contenente le credenziali e i dati di configurazione raccolti. Inoltre, l’attaccante usa una combinazione di strumenti .NET custom, script PowerShell e malware basato su IIS per consentire alle proprie attività malevole di confondersi con il normale traffico di rete ed evitare i tradizionali metodi di rilevamento.

Ucraina: tracciate offensive contro il Paese

Il CERT-UA ha pubblicato un advisory nel quale descrive le attività del cluster UAC-0050, noto per prendere attivamente di mira organizzazioni ucraine. Le operazioni svolte dall’avversario includono lo spionaggio, il furto di fondi e le Psychological Operations (PSYOP) condotte sotto il nome di Fire Cells Group. Nel periodo compreso tra settembre e ottobre 2024, UAC-0050 ha effettuato almeno 30 tentativi di sottrarre denaro dai conti di imprese ucraine e singoli imprenditori, generando/falsificando le transazioni finanziarie attraverso sistemi bancari remoti, dopo aver ottenuto un accesso non autorizzato ai loro computer utilizzando malware come Remcos e TektonIT. L’importo di tali pagamenti varia da decine di migliaia a diversi milioni di grivne, poi convertite in criptovaluta nella maggior parte dei casi, mentre il tempo necessario per il furto può variare da diversi giorni a diverse ore. Stando a quanto riportato dal Computer Emergency Response Team di Kiev, attualmente il gruppo prende di mira principalmente enti governativi, anche se ha ampliato il suo raggio d’azione, rubando denaro alle aziende private attraverso campagne di hacking. Inoltre, è stata osservata una nuova ondata di attacchi del gruppo russofono Romcom – presumibilmente Cuba Team – attivi almeno dalla fine del 2023 e rivolti contro entità governative ucraine e realtà polacche sconosciute. Le operazioni identificate prevedono l’uso dello spear phishing e di una versione aggiornata del malware Romcom, chiamata SingleCamper. Oltre a quest’ultima, il toolset dell’avversario comprende quattro minacce inedite: due downloader denominati RustClaw e MeltingClaw; e due backdoor soprannominate DustyHammock e ShadyHammock. Negli ultimi mesi l’avversario ha intensificato le sue offensive con un chiaro obiettivo di stabilire un accesso a lungo termine per esfiltrare dati di interesse strategico. Stando a quanto analizzato, si ritiene che l’attaccante stia espandendo il proprio tooling e la propria infrastruttura per supportare un’ampia varietà di componenti malware realizzati in diversi linguaggi e piattaforme come GoLang, C++, RUST e LUA.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence