Attacchi in Italia, attività inedite di APT asiatici, nuove operazioni cybercrime

Italia: offensive DDoS e ransomware colpiscono il Paese 

Continuano in Italia le offensive da parte di hacktivisti filorussi. Un collettivo chiamato OverFlame ha sferrato attacchi DDoS contro i portali del Sistema di informazione per la sicurezza della Repubblica italiana, Milan Transport by Conet Pass (Tourist Point S.r.l.), MolecularLab[.]it e Musica e Dischi. In collaborazione con altri gruppi hacktivisti, OverFlame ha inoltre rivendicato un’offensiva contro Digitron Italia S.r.l. e VVVVID. Parallelamente, il collettivo NoName057(16) ha intensificato le sue attività contro obiettivi italiani, con DDoS ai danni di Siena Mobilità, Aeronautica Militare, Ministero della Difesa, Marina Militare e Gruppo Torinese Trasporti, per poi rivolgersi anche verso target localizzati in Svizzera e Ucraina. Passando al panorama ransomware Akira Team ha rivendicato sul proprio sito dei leak la compromissione di Divimast S.r.l.; mentre l’hosting provider italiano Eticoweb ha riferito di aver subito un attacco informatico. A completare la settimana si sono aggiunte diverse campagne di phishing. Tra quelle tracciate figurano: una a tema violazione del copyright volta a veicolare i malware Rhadamanthys, AsyncRAT e PrivateLoader; una nuova ondata di distribuzione del noto infostealer Nocturnal Stealer, che sfrutta caselle PEC compromesse; una che adopera il logo e il nome del Ministero della Salute per indurre le vittime a fornire dati personali e finanziari; e una di smishing che usa il logo e il nome dell’INPS.

APT: rilevate operazioni dal continente asiatico 

Nel maggio 2024, è stato rilevato un attacco alla supply chain del provider VPN IPany in Corea del Sud, condotto nel 2023 da un APT inedito allineato alla Cina chiamato PlushDaemon. Nel dettaglio, l’avversario ha sostituito l’installer legittimo del software VPN dell’azienda sudcoreana target con uno che ha distribuito il suo implant principale denominato SlowStepper, ovvero una backdoor custom sviluppata in C++ ricca di funzionalità e avente un toolkit di oltre 30 componenti. Attivo almeno dal 2019, PlushDaemon è un gruppo impegnato in operazioni di spionaggio contro individui ed entità in Cina, Taiwan, Hong Kong, Corea del Sud, Stati Uniti e Nuova Zelanda. La sua principale tecnica di accesso iniziale consiste nel dirottare gli aggiornamenti legittimi reindirizzando il traffico verso i server da lui controllati. In aggiunta, l’attaccante è stato osservato anche ottenere l’accesso tramite vulnerabilità presenti in server web legittimi. Restando sempre nel versante pacifico, è stata identificata una recente serie di attacchi associati al nordcoreano Lazarus Group, che hanno previsto la distribuzione di un programma malevolo confezionato con il framework open-source Electron – mascherato da pacchetto di installazione di un tool di trading automatico – utilizzato per colpire persone coinvolte nel settore delle criptovalute. Infine, spostandoci nel sud del continente, il gruppo state-sponsored indiano Dropping Elephant è stato associato a un nuovo malware per Android soprannominato Tanzeem (letteralmente “organizzazione” in urdu), presumibilmente progettato per la raccolta di informazioni contro individui o gruppi specifici sia all’interno che all’esterno del Paese.

Cybercrime: sfruttati Office 365 e configurazioni errate dei record DNS 

Ricercatori di sicurezza stanno rispondendo attivamente a incidenti legati a due distinti avversari, ognuno dei quali ha utilizzato funzionalità della piattaforma Office 365 di Microsoft per accedere a organizzazioni mirate con il probabile obiettivo di rubare dati e distribuire ransomware. Gli attaccanti sono monitorati sotto i cluster STAC5143 e STAC5777. Le tattiche più comuni includono: mailbombing, volumi elevati e mirati di messaggi di spam (fino a 3.000 in meno di un’ora) per sovraccaricare le caselle di posta elettronica Outlook di alcuni individui all’interno dell’organizzazione e creare un senso di urgenza; messaggi e chiamate su Teams da un’istanza di Office 365 controllata da un avversario a dipendenti target, spacciandosi per l’assistenza tecnica; e strumenti di controllo remoto di Microsoft, sia tramite Quick Assist che direttamente attraverso la condivisione dello schermo di Teams, che permettono all’attaccante di prendere il controllo del computer della vittima e installare malware. Infine, è stata rilevata tramite una botnet di 13.000 dispositivi MikroTik, una campagna che utilizza una configurazione errata dei record DNS per aggirare le protezioni delle e-mail e distribuire malware tramite lo spoofing di circa 20.000 domini web. In particolare, l’attaccante sfrutta un record DNS non correttamente configurato per il Sender Policy Framework (SPF) usato per elencare tutti i server autorizzati a inviare e-mail per conto di un dominio.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. 

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence