Ritorna (forse) REvil e altro spionaggio cinese
Buon sabato e ben ritrovato caro cyber User. In Italia questa settimana possiamo chiamarla "La settimana cyber dell'energia", a parte tutte le vicissitudini politiche alle quali abbiamo assistito per le varie proposte sull'indipendenza dal gas russo, sull'energia rinnovabile per il PNRR e sul tetto massimo del prezzo del petrolio a livello UE, in Italia abbiamo assistito anche a due clamorosi attacchi informatici, uno rivolto prima a GSE (il nostro gestore dei servizi energetici, partecipata dal MEF) e poi dopo pochi giorni anche a ENI SpA, un colosso partecipata dallo Stato. Ne ho raccontato alcuni dettagli anche sul mio blog, ma la situazione è ancora in evoluzione. Quindi, settore energia, decisamente in crisi (anche cyber).
In breve oggi ti parlo di:
REvil (reale o no) potrebbe essere tornato
Ancora spionaggio cinese: TA423
REvil (reale o no) potrebbe essere tornato
Il gruppo ransomware dietro REvil potrebbe essere tornato, lo riporta questa settimana Cybernews. La banda si è ritirata dalle scene per alcuni mesi e molti hanno concluso che si fosse sciolta a seguito di un'operazione di polizia a più riprese nel corso dell'anno.
Potrebbe essere vero, ma qualcuno che rivendica di rappresentare REvil ha affermato di aver attaccato con successo il gruppo Midea, uno dei principali produttori cinesi di elettrodomestici, e di aver rianimato una versione del DLS (data leak site) di REvil per pubblicare una prova di questo hack.
La storia è ancora in via di sviluppo e ciò che è stato riportato finora è coerente con l'eventuale rebranding con il ritorno della nota banda criminale.
Ancora spionaggio cinese: TA423
Proofpoint e PwC Threat Intelligence hanno monitorato una campagna di cyber-spionaggio in Australia, Malesia ed Europa da aprile a giugno 2022 messa in atto da un gruppo cinese noto come TA423 (nonché Red Ladon, APT40 e Leviathan).
TA423 è un'organizzazione di spionaggio con sede in Cina operante dal 2013 che prende di mira varie organizzazioni nella regione Asia-Pacifico nei settori della difesa, dell'industria, della scienza, dell'istruzione e pubblico in conformità con gli interessi geopolitici del governo cinese.
Gli obiettivi principali dell'APT erano le organizzazioni del settore energetico nel Mar Cinese Meridionale. La campagna si è articolata in tre fasi distinte.
Comprendeva campagne di phishing progettate per attirare le vittime su un sito Web dannoso mascherato come portale di notizie.
Per fare ciò, gli aggressori hanno inviato messaggi da indirizzi e-mail controllati da loro. Allo stesso tempo, il sito ha ospitato una vera e propria selezione di notizie tratte da Reuters e dalla BBC.
Il sito ha ospitato il sistema di intelligence ScanBox, individuato per la prima volta da AlienVault nel 2014 e ritenuto dai ricercatori come uno strumento utilizzato da diversi gruppi APT cinesi. Tutti i target che accedono alla risorsa sono stati rilevati dallo ScanBox.
Fornisce codice JavaScript come blocco autonomo o, in questo caso, come architettura modulare basata su plug-in.
Il payload principale imposta la sua configurazione, comprese le informazioni che raccoglie e il server C2 che deve contattare. Raccoglie dati dettagliati sul browser utilizzato.
In una vittima successiva, sono stati consegnati moduli di keylogger, impronte digitali, peer-to-peer e bypass per eventuali sicurezze, incluso Kaspersky Internet Security (KIS).
L'ultima campagna è stata la terza fase, rivolta principalmente all'Australia e alla Malesia.
Durante la prima fase (marzo 2021) la campagna di phishing ha incluso allegati RTF malevoli che hanno finito per estrarre versioni dello shellcode Meterpreter.
Gli obiettivi in Australia includevano scuole militari, governo federale, agenzie di difesa e sanitarie.
Gli obiettivi della Malesia includevano società di perforazione ed esplorazione offshore, nonché grandi istituzioni finanziarie e di marketing. Allo stesso tempo, quest'ultima potrebbe far parte della filiera delle aziende energetiche.
La seconda fase si è tenuta a marzo 2022. Utilizzava allegati per incorporare modelli RTF che restituivano un documento Microsoft Word con macro. Secondo Proofpoint, il carico utile prevedeva la consegna di un payload DLL che estrae la risposta di Meterpreter con codifica XOR.
I ricercatori suggeriscono che TA423 stia operando dall'isola cinese di Hainan. Questo risultato si basa su un'indagine ufficiale del Dipartimento di Giustizia degli Stati Uniti sui legami dell'APT con l'MSS (Ministero della Sicurezza di Stato) nella provincia cinese di Hainan.
Tuttavia, Proofpoint e PwC hanno notato che l'accusa sembra non aver avuto alcun effetto sulle operazioni del gruppo e prevedono che TA423 continuerà le sue attività di spionaggio.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.