Ransomware e rivendicazioni inedite in Italia, rimossi IP Cobalt Strike malevoli, vulnerabilità in OpenSSH e Cisco NX-OS

Italia: descritto AzzaSec Ransomware e rivendicate offensive contro diverse realtà

Questa settimana emerge tra tutte la notizia della formazione di un nuovo collettivo hacktivista italiano denominato AzzaSec, attivo almeno da giungo 2024 e noto per aver eseguito diversi defacement a sostegno della causa palestinese e per aver sviluppato e lanciato sul mercato il 23 giugno l’omonimo ransomware. Quest’ultimo è scritto in Visual Basic (VB) e .NET e si garantisce la persistenza creando un file nella cartella di avvio automatico di Windows. Per quanto riguarda il processo di crittografia, la minaccia utilizza l’algoritmo AES, inviando la chiave di cifratura a un dominio placeholder. Terminato il processo, AzzaSec Ransomware elimina tutte le copie shadow per impedire il ripristino dei file criptati e cambia lo sfondo del desktop impostando un’immagine contenente informazioni sul malware e istruzioni per il pagamento del riscatto. Per quanto riguarda le rivendicazioni ransomware, invece, l’inedito Arcus Media ha annunciato la compromissione di Clima Lodi S.r.l, azienda che si occupa di manutenzione e assistenza tecnica specializzata per impianti tecnologici di climatizzazione; RansomHub Team di F.IN.E.CO S.r.l. – Forniture Industriali e Consulenze, società che opera come distributore di componenti per il settore dell’automazione industriale offrendo assistenza tecnica pre e post vendita, oltre ad essere un concessionario Parker Hannifin e Service Center certificato per i prodotti Parker – Origa e Parker –SSD; mentre, Akira Team di Alimac S.r.l., gruppo industriale leader internazionale nelle soluzioni per la movimentazione e il trasporto di imballaggi. Dal canto suo, Medusa Team ha reclamato la sua responsabilità dietro la violazione della filiale spagnola di Viasat S.p.A., ovvero Targa Viasat España S.L., azienda italiana di Targa Telematics S.p.A considerata un’eccellenza nel campo della tecnologia applicata all’automotive, affermatasi negli anni come una delle realtà leader in Europa nella fornitura di servizi e soluzioni info-telematiche satellitari e Internet of Things (IoT) per la sicurezza e la protezione di persone, mezzi e merci.

Europol: messi offline 593 indirizzi IP Cobalt Strike associati ad attività criminali

Il 3 luglio 2024, Europol ha annunciato di aver coordinato a livello internazionale un’operazione di Polizia denominata MORPHEUS che ha portato alla rimozione di 593 indirizzi IP del tool legittimo di red teaming Cobalt Strike associati ad attività criminali. Condotta dalla National Crime Agency (NCA) del Regno Unito, con il coinvolgimento delle Forze dell’Ordine di Australia, Canada, Germania, Paesi Bassi, Polonia e Stati Uniti e di partner privati quali BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse[.]ch e The Shadowserver Foundation, l’operazione segna il culmine di un’indagine iniziata nel 2021. Nel dettaglio, tra il 24 e il 28 giugno sono state prese di mira le versioni più vecchie e prive di licenza di Cobalt Strike, il cui abuso permetteva a diversi avversari di infiltrarsi nei sistemi delle loro vittime. Durante questa settimana le Forze dell’Ordine hanno segnalato 690 indirizzi IP collegati ad attività criminali, insieme a una serie di nomi di dominio utilizzati da gruppi criminali, ai fornitori di servizi online in 27 Paesi affinché questi ultimi disabilitassero le versioni senza licenza dello strumento. Alla fine della settimana, 593 di questi IP sono stati messi offline.

OpenSSH e Cisco: notificate regreSSHion e una 0-day sfruttata da Velvet Ant

regreSSHion è il nome di una vulnerabilità critica recentemente scoperta nel server OpenSSH (sshd) sui sistemi Linux basati su glibc. Si tratta di una Signal Handler Race Condition, tracciata con codice CVE-2024-6387, che consente l’esecuzione di codice remoto non autenticato (RCE) come root nei sistemi Linux basati su glibc. Se sfruttata, potrebbe portare a una compromissione completa del sistema in cui un avversario può eseguire codice arbitrario con i massimi privilegi, con conseguente acquisizione del sistema stesso, installazione di malware, manipolazione dei dati e creazione di backdoor per l’accesso persistente. Inoltre, potrebbe facilitare la propagazione nella rete, consentendo all’attaccante di utilizzare un sistema compromesso come punto di appoggio per attraversare e sfruttare altri sistemi vulnerabili all’interno dell’organizzazione. Infine, l’ottenimento dell’accesso root consentirebbe all’utente malintenzionato di aggirare meccanismi di sicurezza critici e comportare significative violazioni e fughe di dati. Stando a quanto analizzato, questa falla è una regressione della CVE-2006-5051, precedentemente patchata e segnalata nel 2006, la quale si è ripresentata con la pubblicazione di OpenSSH 8.5p1 nell’ottobre 2020; motivo per cui viene chiamata regreSSHion. Al momento, sono state identificate non meno di 14 milioni di istanze di server OpenSSH potenzialmente vulnerabili ed esposte a internet. Si segnala che lo sfruttamento della vulnerabilità è stato dimostrato su sistemi Linux/glibc a 32 bit con ASLR e che è disponibile un codice Proof-of-Concept. Quanto a Cisco, il vendor ha rilasciato un advisory per una 0-day identificata come CVE-2024-20399 in Cisco NX-OS e utilizzata nel mese di aprile 2024 in un attacco dell’APT cinese Velvet Ant. La falla di tipo OS Command Injection impatta la Command Line Interface (CLI) del software Cisco NX-OS, utilizzato negli switch, e potrebbe consentire a un attaccante locale autenticato di eseguire comandi arbitrari come root sul sistema operativo (OS) sottostante di un dispositivo interessato. Il gruppo di Pechino è riuscito a eseguire comandi sull’OS dei device Cisco Nexus, portando alla distribuzione di unmalware custom precedentemente sconosciuto che gli ha permesso di connettersi in remoto ai dispositivi compromessi, caricare file aggiuntivi ed eseguire codice.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.