Cybercrime in Italia, nuovi dettagli sul cinese GhostEmperor, collegato Cuba Team a due 0-day

Italia: nuovi attacchi di phishing e ransomware

Anche nell’ultima settimana nuove campagne di phishing hanno colpito l’Italia. Una nuova attività di distribuzione del RAT Remcos ha sfruttato e-mail a tema falsa fattura di Illumia; mentre due operazioni hanno puntato ai clienti di Intesa Sanpaolo. In particolare, le offensive, tra cui una via PEC, hanno sfruttato nome e logo della banca al fine di esfiltrare le credenziali di accesso all’home banking e i dati della carta di pagamento degli utenti dell’istituto. Inoltre, numerosi sono stati i presunti attacchi ransomware rivendicati dagli operatori. Un nuovo gruppo chiamato Argonauts Group ha reclamato sul proprio sito dei leak la compromissione delle seguenti sei realtà italiane: Bocchi S.r.l.; Contact S.r.l.; Avis Intercomunale Arnaldo Colombo; AIAD, Federazione Aziende Italiane per l’Aerospazio, la Difesa e la Sicurezza; Crolla sistemi S.r.l.; e FIT-CISL Federazione Italiana Trasporti. Parallelamente, Lynx Team ha annunciato la violazione di SCM Group, mentre RansomHub Team quella di Bologna Football Club 1909 S.p.A.

GhostEmperor: l’APT mira a settori chiave e a T-Mobile

T-Mobile ha recentemente individuato tentativi di infiltrazione nei suoi sistemi che si ritiene siano potenzialmente collegati alla campagna del cinese GhostEmperor, che ha preso di mira gli ISP americani. Tali tentativi provenivano dalla rete di un provider di telefonia collegato a T-Mobile stessa. Tuttavia, le difese messe in atto hanno protetto le informazioni sensibili dei clienti e impedito all’attacco di avanzare. La società ha rapidamente interrotto la connettività alla rete del provider, ritenendo che fosse – e possa ancora essere – compromessa. Al momento, T-Mobile non è in grado di identificare definitivamente l’identità dell’attaccante. Dal 2023, ricercatori di sicurezza hanno osservato GhostEmperor prendere di mira industrie chiave a livello globale con tecniche sofisticate e molteplici backdoor, tra cui Deed RAT e le inedite GHOSTSPIDER e MASOL RAT, per condurre operazioni di spionaggio prolungate. L’APT di Pechino ha compromesso oltre 20 organizzazioni, bersagliando vari settori, tra cui quello delle telecomunicazioni, tecnologico, della consulenza, chimico e dei trasporti, nonché agenzie governative e ONG in numerosi Paesi in Asia, Medio Oriente, Sudafrica e America.

Cuba Team: sfruttate 0-day Firefox e Windows

L’avversario allineato alla Russia noto come Cuba Team è stato collegato allo sfruttamento concatenato di due vulnerabilità 0-day in Europa e Nord America. In particolare, l’8 ottobre 2024, ricercatori di sicurezza hanno scoperto una 0-day in prodotti Mozilla, precedentemente sconosciuta, sfruttata ITW. L’analisi dell’exploit ha portato all’individuazione della falla, ora notacome CVE-2024-9680, ovvero una Use After Free in Animation timeline di Firefox. In seguito, il 9 ottobre 2024, il problema di sicurezza è stato corretto dal vendor. Ulteriori analisi hanno rivelato un’ulteriore 0-day in Windows, una Privilege Escalation identificata con CVE-2024-49039, che consente l’esecuzione di codice al di fuori della sandbox di Firefox. Microsoft ha rilasciato una patch per questa seconda vulnerabilità il 12 novembre 2024. La catena di compromissione è composta da un falso sito web che reindirizza la potenziale vittima al server che ospita l’exploit, il quale porta al lancio di uno shellcode e infine all’esecuzione di RomCom Rat. Secondo la telemetria, dal 10 ottobre 2024 al 4 novembre 2024, le potenziali vittime che hanno visitato i siti web che ospitavano l’exploit si trovavano per lo più in Europa e in Nord America.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence