Il buono, il cattivo e le novità nell'ultima settimana: 22-26/07/2024
Buon sabato e ben ritrovato caro cyber User.
Questo sabato riprende NINAsec, ho deciso di dedicare nuovamente del tempo a questo tipo di comunicazione, riunendo ciò che succede nei sette giorni e riassumendolo qui per la lettura.
💓 Azioni coraggiose e positive
In una azione importante contro il crimine informatico, Meta ha cancellato 63.000 account Instagram legati al gruppo di cybercriminali nigeriani noto come Yahoo Boys. Questi account erano coinvolti in truffe di sextortion e una rete di 2.500 account mirava a uomini adulti negli Stati Uniti. Inoltre, Meta ha eliminato 1.300 account Facebook, 200 Pagine e 5.700 Gruppi che fornivano consigli e materiali per truffe. L'azienda ha implementato misure per bloccare la creazione di nuovi account da parte di truffatori.
In parallelo, le forze dell'ordine francesi e Europol stanno collaborando per eliminare il malware PlugX dai dispositivi infetti in Francia, Malta, Portogallo, Croazia, Slovacchia e Austria. Questa operazione è condotta dal Centro per la Lotta contro il Crimine Digitale (C3N) della Gendarmeria Nazionale con l'assistenza di Sekoia. L'ANSSI sta notificando individualmente le vittime in Francia sul processo di pulizia e il suo impatto.
Nel frattempo, la NCA, in collaborazione con l'FBI e la PSNI, ha smantellato il servizio di attacco DDoS su commissione DigitalStress. Questa operazione, parte dell'iniziativa internazionale Operazione Power Off, ha portato al sequestro del dominio del servizio e all'arresto di uno dei suoi amministratori sospetti. La NCA ha avvertito gli utenti che i loro dati sono stati raccolti e saranno analizzati per identificarli.
💀 Minacce preoccupanti
Nel panorama in continua evoluzione della sicurezza informatica, è emersa una nuova minaccia formidabile: LummaC2 info-stealer. Questo malware viene diffuso tramite avvelenamento SEO, annunci sui motori di ricerca e piattaforme come Steam, presentandosi come software illegale e installatori legittimi. LummaC2 utilizza tecniche avanzate come il side-loading di DLL e l'abuso di piattaforme come Steam per acquisire domini C2. Mira a rubare informazioni da una vasta gamma di programmi, inclusi portafogli digitali, browser, client FTP e programmi VPN.
Un'altra minaccia proviene dal gruppo di hacker sponsorizzato dallo stato bielorusso, GhostWriter, che ha intensificato le sue attività di spionaggio informatico contro organizzazioni ucraine e agenzie governative locali utilizzando il malware PicassoLoader. Questo gruppo ha utilizzato email di phishing relative al progetto Hoverla dell'USAID per compromettere gli indicatori finanziari, economici e di governance in Ucraina.
Inoltre, un avviso congiunto dell'FBI, CISA, NSA e altre agenzie ha avvertito di imminenti attacchi informatici contro infrastrutture critiche degli Stati Uniti da parte del gruppo nordcoreano Andariel. Questo gruppo, noto anche come Silent Chollima, Onyx Sleet e Stonefly, prende di mira principalmente i settori della difesa, dell'aerospaziale, del nucleare e dell'ingegneria negli Stati Uniti, Giappone, Corea del Sud e India.
Un ulteriore sviluppo allarmante riguarda un attore minaccioso noto come Stargazer Goblin, che ha creato una piattaforma di distribuzione di malware come servizio (DaaS) su GitHub, utilizzando oltre 3.000 account falsi per diffondere malware che ruba informazioni. Questa operazione, chiamata Stargazers Ghost Network, distribuisce archivi protetti da password contenenti malware tramite repository GitHub e siti WordPress compromessi.
Il popolare gioco mobile Hamster Kombat è diventato un nuovo vettore per la distribuzione di malware. Nonostante non sia disponibile su canali ufficiali, il gioco ha guadagnato enorme popolarità su Telegram, dove i criminali informatici lo utilizzano per distribuire malware. I ricercatori di ESET hanno scoperto un APK dannoso chiamato 'Hamster.apk' su Telegram, che in realtà è uno spyware Android Ratel in grado di rubare dati sensibili dai dispositivi.
Infine, i criminali informatici stanno sfruttando l'hype intorno all'imminente uscita di Grand Theft Auto VI per distribuire malware tramite annunci Facebook ingannevoli. Questi annunci attirano i giocatori a scaricare un falso installer di GTA VI, che è in realtà un malware loader FakeBat, capace di distribuire ulteriori malware come info-stealer e RAT.
🎉 Aggiornamento sulle novità
Il panorama delle minacce continua a evolversi, con attori che sfruttano vulnerabilità non patchate in ServiceNow, inclusa una grave falla RCE, per rubare credenziali da agenzie governative e aziende private. Nonostante ServiceNow abbia risolto queste falle il 10 luglio 2024, gli attacchi sono stati osservati per almeno una settimana, utilizzando exploit disponibili e scanner di rete.
Una nuova campagna, chiamata SeleniumGreed e identificata da Wiz, sfrutta i servizi Selenium Grid esposti per il mining di criptovaluta illecito. Questa campagna, attiva dal 2023, coinvolge l'esecuzione di codice Python tramite l'API WebDriver per distribuire un miner XMRig. Con oltre 30.000 istanze esposte, è urgente che gli utenti affrontino questa configurazione errata.
Dal dark web emerge Krampus, un nuovo malware loader che sta guadagnando popolarità per le sue capacità versatili. Krampus può gestire script di archivio e PowerShell, sideload crypto miners e altro, rendendosi difficile da rilevare con misure di sicurezza tradizionali. Le organizzazioni sono invitate ad aggiornare i loro protocolli di sicurezza per combattere queste minacce sofisticate.
I ricercatori hanno anche rivelato una vulnerabilità di escalation dei privilegi, chiamata ConfusedFunction, nel servizio Google Cloud Platform's Cloud Functions. Questa falla permette agli attaccanti di sfruttare i permessi eccessivi del Default Cloud Build Service Account per accedere ad altri servizi e dati sensibili. Google ha aggiornato il comportamento predefinito per prevenire l'abuso, ma le istanze esistenti rimangono vulnerabili.
Un malware mai visto prima, chiamato FrostyGoop, ha interrotto il sistema di riscaldamento centralizzato di un'azienda energetica in Ucraina, lasciando oltre 600 edifici senza riscaldamento per due giorni durante temperature sotto lo zero. FrostyGoop sfrutta il protocollo Modbus per alterare direttamente i sistemi di controllo industriale, rappresentando una minaccia significativa per gli ambienti OT a livello globale.
Il gruppo di spionaggio Daggerfly ha aggiornato il suo arsenale di malware, rilasciando nuove versioni del backdoor Macma per macOS e una nuova famiglia di malware basata sul framework modulare MgBot. Questi aggiornamenti dimostrano uno sviluppo continuo e una maggiore sofisticazione, evidenziando gli sforzi persistenti del gruppo per evitare il rilevamento.
Infine, i ricercatori di ESET hanno scoperto un exploit zero-day che prende di mira Telegram per Android, chiamato EvilVideo. Questo exploit permetteva agli attaccanti di inviare payload Android dannosi mascherati da file video, inducendo gli utenti a installare malware. Telegram ha risolto il problema nella versione 10.14.5, ma la capacità degli attori di innovare sottolinea la necessità di una vigilanza continua.
Questa settimana ha visto notevoli successi nella lotta contro il crimine informatico, ma ha anche messo in evidenza nuove e persistenti minacce. È fondamentale rimanere vigili e aggiornati sulle ultime patch di sicurezza per proteggere le nostre informazioni e infrastrutture. NINAsec potrebbe servire anche a questo.
😋 FunFact
Nasce Failstrike, nuovo punto di riferimento su CrowdStrike outage dello scorso 18-19 luglio 2024, con una sorta di esposizione di “quanti danni sono stati causati” e i relativi numeri.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.