19103

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 1-7 Ottobre

lunedì 10 ottobre 2022
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 1-7 Ottobre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 1 - 7 Ottobre
La scorsa settimana il CERT-AgID ha individuato e analizzato 22 campagne dannose: 18 sono state mirate contro gli utenti italiani, 4 sono invece state generiche ma circolate comunque nel cyber spazio italiano.

Le famiglie malware individuate in diffusione sono state 8: tra tante conferme, c'è una novità. E' stato individuato in diffusione per la prima volta in Italia il malware per furto dati BluStealer. Ecco qui i malware diffusi:

Formbook è stato diffuso con due diverse campagne email, una a tema Ordine e una a tema Pagamenti. Le email veicolavano allegati dannosi nei formatiLZH e RAR.
Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
BluStealer è stato diffuso per la prima volta in Italia con due campagne, una a tema Pagamenti e una a tema Preventivo. Le email contenevano un link che rimanda al download di un file in formato ISO.
Rimandiamo al dettagliato approfondimento del CERT per approfondire questa minaccia;
Qakbot è stato diffuso con due campagne mirate, una a tema Resend e una a tema Pagamenti. Il corpo email conteneva un link che conduce al download di un archivio ZIP. Entro l'archivio sono presenti file ISO, LNK o XLSB.
Per approfondire > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l'Italia;
Lokibot è stato diffuso con una campagna a tema Delivery che ha sfruttato il brand DHL. Le email veicolavano allegati RAR;
SMSRat è stato diffuso con una campagna circolata via SMS e rivolta ad utenti Android. Gli SMS erano a tema banking e contenevano un link che portava al download di un APK dannoso;
AgentTesla è stato diffuso con una campagna a tema Delivery che ha sfruttato il brand DHL. Le email veicolavano allegati dannosi in formato XLSX.
Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
Remcos è stato diffuso con una campagna a tema Documenti diffusa vie email con allegati RAR;
IceID è stato diffuso con una campagna fale di Agenzia Entrate e Riscossione: le email veicolavano allegati XLS dannosi. La campagna ha riguardato anche indirizzi PEC.
Lokibot in breve

LokiBot ha molte funzioni, oltre al furto delle credenziali. Ad esempio, appena "dentro" Android, apre il browser e scarica un URL dal quale verrà installato un proxy SOCK5 per reindirizzare il traffico in uscita. Può rispondere automaticamente agli SMS e inviare altri SMS ai contatti della vittima: nella quasi totalità dei casi si tratta di SMS di spam usati per infettare nuovi utenti. Infine può mostrare false notifiche provenienti da altre app. Questa funzionalità serve a ingannare gli utenti facendo loro credere di avere ricevuto del denaro sul proprio conto bancario e per indurli quindi ad aprire l'app di mobile banking. Quando l'utente tocca la notifica, LokiBot mostra una pagina falsa invece dell'app reale: le credenziali di login inserite finiranno nelle mani degli attaccanti.
RedLine RAT in breve:
in tutta la campagna di attacco il malware vero e proprio, inteso in senso classico, è appunto RedLine che è un malware scritto in .NET. Esegue scansioni sulla macchina bersaglio incerca di software per la gestione della criptovaluta e app di messaggistica, mentre ha funzionalità specifiche per sfruttare e raccogliere dati dal servizio VPN Nord VPN. E' un malware infostealer, specializzato nel furto di: cookie, credenziali VPN, credenziali memorizzate sui browser (login social ed email, ma anche estremi delle carte di credito ecc...), wallet di criptovaluta, informazioni di sistema.

Fonte: https://cert-agid.gov.it

Le campagne di phishing e i temi della settimana 1 - 7 Ottobre
Le campagne di phishing individuate sono state 11 ed hanno sfruttato 7 brand: vi troviamo Agenzia delle Entrate, Nexi e Poste. Immancabili le campagne di phishing "webmail generic", lanciate "nel mucchio" nel tentativo di rubare account email.

Fonte: https://cert-agid.gov.it

Analizzando i temi, il CERT fa sapere che:

il tema banking è stato usato principalmente per campagne di phishing finalizzate al furto dati, ma anche per diffondere il malware SMSRat che, ricordiamo, è pensato per i dispositivi Android;
il tema Pagamenti è stato usato principalmente per diffondere i malware Formbook, Bluestealer e Qakbot;
il tema Delivery, che ha visto sfruttato principalmente il brand DHL, è stato usato per diffondere i malware Lokibot e AgentTesla.

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore

I formati file più utilizzati come vettore di attacco sono stati, e non è certo una novità, i formati archivio, in dettaglio RAR e ZIP. La novità è che il formato file immagine ISO è stato quello più utilizzato in assoluto.

Fonte: https://cert-agid.gov.it

19102

Microsoft Exchange: nuova vulnerabilità 0day sfruttata dal Ransomware Lockbit

venerdì 14 ottobre 2022
Microsoft Exchange: nuova vulnerabilità 0day sfruttata dal Ransomware Lockbit

Microsoft ha individuato un'ondata di attacchi legati alla campagna ransomware Lockbit: sta sfruttando una nuova vulnerabilità 0day.

Microsoft sta analizzando una serie di segnalazioni relative all'uso di una vulnerabilità 0day sfruttata dal servizio ransomware Lockbit per attaccare i server Exchange. La prima individuazione di attacchi che sfruttano questa 0day in realtà risale al Luglio 2022: in questo caso gli attaccanti, affiliati di Lockbit, hanno usato una webshell distribuita in precedenza su un server Exchange per l'escalation dei privilegi di amministrazione nell'Active Directory. Sono così riusciti a rubare più di 1 TB e a criptare i sistemi aziendali. I ricercatori di AhnLab, che per primi hanno analizzato la 0day, riferiscono che gli attaccanti hanno impiegato una settimana per acquisire l'account admin dell'Active Directory. La compromissione è stata possibile grazie, appunto, ad una "0-day non divulgata".

Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia

Nuova vulnerabilità 0day di Microsoft Exchange
A poco meno di due settimane di distanza, quindi, ci risiamo. Microsoft non ha ancora patchato le 0day ribattezzate ProxyNotShell e la cosa si fa preoccupante perchè è emerso che anche le misure di mitigazione suggerite dalla corporation stessa possono essere bypassate. Il Patching Tuesday di Ottobre è passato, ma proxyNotShell resta irrisolta.

Per approfondire > Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende

I Ricercatori di AhanLab spiegano di non essere certi che, nell'attacco di Luglio, siano state sfruttate le vulnerabilità ProxyNotShell o altre, perché le tattiche di attacco usate sono diverse.

"Esiste la possibilità che le vulnerabilità di Microsoft Exchange Server (CVE-2022-41040, CVE-2022-41082) [...], siano state utilizzate il 28 Settembre, ma il metodo di attacco, il nome del file webshell generato e gli attacchi successivi alla creazione della webshell sono diversi. Si presume che un altro aggressore abbia usato una 0day diversa."

In effetti i ricercatori spiegano che gli addetti ai lavori sono a conoscenza di almeno altre 3 bug di Exchange non divulgati: sono stati segnalati dalla Zero Day Iniziative tre settimane fa, tracciate con gli identificativi ZDI-CAN-18881, ZDI-CAN-18882 e ZDI-CAN-18932.

Vulnerabilità che, secondo TrendMicro, sono di livello critico. Microsoft ad ora, però, non ha pubblicato informazioni relative a queste tre falle e non ha anora assegnato gli ID CVE per tracciarle.

19101

Anatomia di BluStealer, il nuovo malware per il furto dati distribuito in Italia

mercoledì 12 ottobre 2022
Anatomia di BluStealer, il nuovo malware per il furto dati distribuito in Italia

Alla fine è arrivato anche in Italia, come indicato dal CERT nell'ultimo report settimanale sulle minacce informatiche circolate nel nostro paese. Parliamo del malware per il furto dati BluStealer

BluStealer: la campagna di diffusione individuata dal CERT
Il CERT ha pubblicato un lungo reportage su BlueStealer, dopo aver individuato per la prima volta nel nostro paese una campagna di diffusione di questo malware. Le email erano a tema Bonifici e emulavano comunicazioni ufficiali di un fantomatico Istituto di Credito Relax Banking. Nel corpo email erano visibili in anteprima due file PDF, pensate per indurre l'utente a cliccarci sopra. Il click sulle anteprime conduceva al download di un file ISO. L'infezione inizia con l'apertura di questo file.

Fonte: https://cert-agid.gov.it/

L'email risulta proveniente da una macchina facente parte di un servizio localizzato negli Stati Uniti, le due "anteprime PDF" altro non sono che immagini contenenti il link che punta al download del file ISO

I metadati del file ISO. Fonte: https://cert-agid.gov.it

Entro il file ISO c'è un file EXE scritto in .NET.

BluStealer: breve biografia
BluStealer è stato individuato in diffusione, per la prima volta, nel Maggio 2021. E' un malware pensato per il furto di informazioni, con particolare attenzione al furto dei dati dei wallet di criptovaluta. Cerca e ruba, inoltre, i documenti. L'esfiltrazione dei dati avviene tramite SMTP, Telegram Bot API.

Viene diffuso principalmente tramite campagne email di spam, che solitamente ripropongono l'uso del medesimo loader scritto in .NET.

BluStealer: info tecniche
BluStealer si compone di un core scritto in Visual Basic e un payload in .NET. Ha subito nel tempo varie modifiche, molte delle quali mirate ad introdurre meccanismi anti VM e rendere più difficile l'analisi in honeypot da parte dei ricercatori di sicurezza. Pesante il livello di offuscamento delle varie componenti, parte delle quali sono anche criptate.

Come detto, l'infezione inizia con un file ISO che contiene un file eseguibile. L'eseguibile scarica un file JPG da un server remoto: analisi più approfondite hanno portato a scoprire che questo file JPG non è una immagine, ma un file di testo che contiene codice esadecimale.

Fonte: https://cert-agid.gov.it

Da questo codice viene poi ottenuto, in conversione, una DLL che poi viene eseguita. Il file "eseguibile" è quindi, in realtà, un downloader.

Nella campagna italiana, spiegano dal CERT, la DLL riporta una vecchia conoscenza, ovvero l'injector PureCrypter. PureCrypter, sottolineiamo, non è un tool illegale: è un tool commerciale disponibile a prezzi piuttosto accessibili. Questo tool, tra le altre cose, verifica il nome della macchina in cui è in esecuzione: in dettaglio verifica che il nome della macchina sia diverso da “hal9th” e il nome utente da “johndoe”, dati che sono legati all'emulatore antivirus Windows Defender. Una volta ottenuta la persistenza copiando se stesso in “\AppData\Roaming\docs\offic.exe“, il tool rilascia ed esegue il malware finale.

Ecco che siamo di fronte al malware vero e proprio, che incredibilmente, è scritto in Virtual Basic 6.0 (si risale al 1998!) ed è offuscato. Nel report del CERT è possibile leggere in dettaglio le modalità utilizzate per deoffuscare il codice ed "estrarne" le funzionalità: ne consigliamo la lettura agli addetti ai lavori

Ecco la struttura del ciclo principale di BluStealer resa dal CERT

Fonte: https://cert-agid.gov.it

Sono eseguite tre azioni:

ogni volta che viene premuto un tasto sia di mouse che tastiera, i dati dei browser, dei client di posta, VPN e FT sono esfiltrati e salvati in una cartella di lavoro, mentre altri sono immediatamente inviati via email;
viene effettuato, ogni secondo, un check della presenza di questi file bersaglio: se trovati, sono inviati via email;
ogni millisecondo eventuali indirizzi di wallet di cripovaluta presenti nella clicpboad sono sostituiti con indirizzi wallet del malware: così l'utente che copincolla indirizzi wallet per eseguire pagamenti (in Bitcoin ed Ethereum) finisce per indirizzarli verso wallet gestiti dagli attaccanti.
L'esfiltrazione dei dati comunque comincia solo dopo che il malware ha effettuato controlli anti virtual machine e antidebug. Per il furto delle password dai browser verifica la presenza di SQLite sulla macchina bersaglio, altrimenti esegue due eseguibili zippati tramite i quali, tra le altre cose, salva le credenziali nel file %APPDATA%\Microsoft\Windows\Templates\credentials.txt

BluStealer: quali dati ruba?
In dettaglio Blustealer mira:

ai dati dei wallet di criptovaluta, infatti verifica la presenza di dati relativi ai wallet Zcash, Armory, bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi;
alle credenziali di accesso e alle carte di credito salvate nei browser Chrome, Opera, Yandex Browser, 360Chrome, Comodo Dragon, ChromePlus, Chromium, Torch, Brave Browser, Iridium, 7Star, Amigo, CentBrowser, Chedot, CocCoc, Elements Browser, Epic Privacy Browser, Kometa, Orbitium, Sputnik, Uran, Vivaldi, Sleipnir5, Citrio, Coowon, Liebao, QIP Surf, Edge, Firefox, Waterfox, K-Meleon, IceDragon, Cyberfox, BlackHawK, Pale Moon;
ai client di posta Outlook 2013+, Thunderbird, FoxMail. Nel caso la vittima utilizzi Thunderbird o 163Mail,BluStealer può rubare anche il contenuto delle email e i contatti della rubrica;
ad app come CoreFTP, WinSCP e NordVPN.

1609223

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 24 - 30 Settembre

martedì 4 ottobre 2022
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 24 - 30 Settembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 24 - 30 Settembre
La scorsa settimana il CERT ha individuato e analizzato 20 campagne dannose attive nel cyber spazio italiano: 17 sono state mirate contro obiettivi italiani, 3 invece sono state generiche. Le famiglie malware in distribuzione sono state 6:

AgenTesla è stato distribuito con 4 diverse campagne a tema Informazioni e Pagamenti. Le campagne email sono state 2 generiche e 2 mirate contro utenti italiani. Le email veicolavano allegati GZ, 7Z e IMG. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
Formbook è stato diffuso con due campagne, una a tema Ordine e una a tema Pagamenti. Le email veicolavano allegati ZIP e ISO. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
Azorult è stato diffuso con due campagne a tema Pagamenti. Le email veicolano allegati ZIP: in queste campagne è stato usato il dropper GuLoader;
Qakbot è stato diffuso con due campagne a tema Resend: il corpo email contiene un link che porta al download di un archivio ZIP che contiene un file ISO. Il file ISO, a sua volta, contiene una LNK che richiama poi una libreria DLL dannosa. Per approfondire > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l'Italia;
Unknow: è una campagna ignota legata alla 0-day di Microsoft Exchange chiamata ProxyNotShell;
Lokibot è stato diffuso con una campagna a tema Delivery: le email veicolavano due allegati, in formato archivio RAR e ZIP. I due archivi contengono lo stesso eseguibile.
Azorult in breve
Individuato per la prima volta nel 2016, é un trojan molto diffuso, perché in vendita nelle darknet a bassissimo costo. Tra le varie funzionalità ha anche quella di donwnloader, infatti spesso è usato per diffondere ulteriori malware. E' un malware infostealer, che ruba le informazioni dal dispositivo infetto e le invia al server C&C controllato dagli attaccanti.

Lokibot in breve
LokiBot ha molte funzioni, oltre al furto delle credenziali. Ad esempio, appena "dentro" Android, apre il browser e scarica un URL dal quale verrà installato un proxy SOCK5 per reindirizzare il traffico in uscita. Può rispondere automaticamente agli SMS e inviare altri SMS ai contatti della vittima: nella quasi totalità dei casi si tratta di SMS di spam usati per infettare nuovi utenti. Infine può mostrare false notifiche provenienti da altre app. Questa funzionalità serve a ingannare gli utenti facendo loro credere di avere ricevuto del denaro sul proprio conto bancario e per indurli quindi ad aprire l'app di mobile banking. Quando l'utente tocca la notifica, LokiBot mostra una pagina falsa invece dell'app reale: le credenziali di login inserite finiranno nelle mani degli attaccanti.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 24 - 30 Settembre
Le campagne di phishing individuate sono state 8, con soli 7 brand coinvolti. Un pò di fiato per una già martoriata Italia (che questa settimana finalmente esce dal podio degli stati europei più colpiti da ransomware). Il brand più sfruttato risulta essere quello del corriere BRT, seguito da Intesa San Paolo e Poste.

Fonte: https://cert-agid.gov.it/

I temi più sfruttati, anche per diffondere malware, sono stati:

Pagamenti: il tema è stato sfruttato per diffondere AgenTesla, Formbook e Azorult;
Delivery: usato sia per il phishing BRT che per veicolare Lokibot;
Aggiornamenti e Resend, usati rispettivamente per campagne di phishing e il malware Qakbot.

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore

I formati file più utilizzati come vettore di attacco sono stati, e non è certo una novità, i formati archivio. I formati ZIP e RAR si piazzano al 1° e 3° gradino del podio: al secondo posto invece si trova il formato immagine ISO.

Fonte: https://cert-agid.gov.it/

081020222

Industrial Spy: il marketplace di dati rubati lancia il suo ransomware. Ha già colpito in Italia

giovedì 6 ottobre 2022
Industrial Spy: il marketplace di dati rubati lancia il suo ransomware. Ha già colpito in Italia

Industrial Spy nasce come marketplace dove comprare dati rubati. Da qualche settimana è però diventata anche una operazione ransomware che ha già colpito utenti italiani.

Abbiamo ricevuto richieste di assistenza da parte di utenti italiani per la risoluzione dell'infezione ransomware Industrial Spy. Con i nostri partner tecnologici stiamo analizzando l'infezione: ad ora questa non ha soluzione, quindi ci limitiamo a fornire una prima analisi tecnica e qualche misura di mitigazione.

Industrial Spy: dal marketplace al ransomware
Nell'Aprile di quest'anno un gruppo di cyber attaccanti ha lanciato un nuovo marketplace di dati rubati. Vi si trovano in vendita i dati rubati da aziende e organizzazioni, ma i gestori offrono anche dataset gratuiti agli affiliati. La particolarità di Industrial Spy è che si promuove come un marketplace nel quale le aziende possono acquistare i dati della concorrenza, ottenendo l'accesso a segreti commerciali, report, database dei clienti, progetti, diagrammi di produzione ecc...

Dall'altro lato, il marketplace era già usato come metodo di estorsione verso le vittime "bucate" dagli attaccanti: in pratica le aziende attaccate vengono minacciate di pubblicazione dei dati rubati proprio in questo marketplace. Un pagamento in criptovalute scongiurerebbe la pubblicazione di dati critici. In pratica lo stesso identico meccanismo utilizzato dalle campagne ransomware che, come secondo o terzo livello di estorsione oltre alla criptazione dei dati, usano proprio la minaccia di pubblicazione dei dati rubati. Non solo: tra i dati in vendita se ne trovano alcuni provenienti proprio da aziende già in passato vittime di operazioni ransomware.

Insomma il marketplace Industrial Spy aveva già un piede nel mondo dei ransomware e ora ha deciso di entrarci "mettendosi in proprio".

Ransomware Industrial Spy: cosa sappiamo per adesso?
L'operazione ransomware Industrial Spy è stata lanciata alla fine di Maggio 2022. Per la precisione prima va detto che Industrial Spy aveva lanciato una operazione malware: per promuovere i propri servizi infatti aveva stabilito una serie di collaborazioni con creastori di siti fake e adware per distribuire un malware che creava, sui dispositivi infetti, un file README.txt. Nel file di testo erano presentati i servizi del malrketplace, le modalità di vendita dei dataset, i dati in vendita (compresi segreti politici e militari) ecc...

La precedente versione del file README.txt

Poco dopo è stato individuato in uso in attacchi reali il ransomware Industrial Spy. La nota di riscatto è una evoluzione del file README.txt e qui gli attaccanti dichiarano apertamente che i file non solo vengono rubati, ma anche criptati.

Industrial Spy in effetti cripta i dati, anche se non ne modifica il nome né aggiunge una estensione di criptazione specifica. Il tratto disitintivo di questo ransomware quindi, oltre alla nota di riscatto, è il marker 0xFEEDBEEF, mai visto prima in una famiglia ransomware (per i più smanettoni è utile sottolineare che questo marker non va confuso con 0xDEADBEEF, che invece è un valore di debug molto usato in programmazione).

Quel che ad ora si sa è che questo ransomware usa la crioptazione DES mentre la chiave è criptata usando una chiave pubblica RSA1024. La nota di riscatto viene creata in ogni cartella contenente file criptati.

Tre le varie funzionalità, questo ransomware ha quella di cancellare le copie shadow di file, così da impedire il ripristino dei dati nel caso in cui la vittima non disponga di un backup.

Proteggersi dai ransonmware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E' fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.

Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all'ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.

Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.

Adotta l'approccio zero trust:
applica il principio del "privilegio minimo" per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.

Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota

Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l'accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l'attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l'utente. E' fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l'assoluta certezza della legittimità della comunicazione.

Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l'anello debole della catena di cyber sicurezza e sicurezza dei dati è l'utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.

Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l'RDP, fallo sempre tramite una VPN.

Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.

Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!

Implementa sistemi di protezione preventiva:
come l'Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

081020221

Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende

venerdì 30 settembre 2022
Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende

Microsoft ha confermato la scoperta di due vulnerabilità 0-day in Microsoft Exchange Server 2013, 2016 e 2019. Le due vulnerabilità sono:

CVE-2022-41040: vulnerabilità di falsificazione delle richieste lato server;
CVE-2022-41082: vulnerabilità di esecuzione codice da remoto quando PowerShell è accessibile all'attaccante.
Queste le descrizioni brevi di Microsoft rispetto alle due vulnerabilità: la corporation ha comunque fatto sapere di essere già al lavoro per produrre i fix necessari a "tappare" le due falle.

"Al momento, Microsoft è a conoscenza di attacchi mirati che stanno sfruttando queste due vulnerabilità per accedere ai sistemi degli utenti" ha dichiarato Microsoft.

La società ha aggiunto che la vulnerabilità CVE-2022-41040 può essere sfruttata solo da attaccanti autenticati: se però l'exploit di questa ha successo, l'attaccante può attivare la vulnerabilità CVE-2022-41082. Sottolineiamo comunque che al momento queste 0-day impattano solo sulle istanze Microsoft Exchange on-premise.

Le due 0-day sono in uso in attacchi reali contro le aziende
I primi ad individuare queste due vulnerabilità sono stati i ricercatori dell'azienda di cyber security vietnamita GTSC: i ricercatori hanno intercettato una serie di attacchi in corso e hanno scoperto così le vulnerabilità che ne stanno alla base.

Gli attaccanti stanno usando questa coppia di vulnerabilità per distribuire le webshell Chopper, sviluppate da cyber attaccanti cinesi: queste webshell hanno lo scopo di rubare i dati e hanno dimostrato alte capacità di propagazione grazie alle funzionalità di spostamento laterale sui sistemi lungo le reti bersaglio. GTSC ha proceduto ad avvisare Microsoft celermente, visto che le due vulnerabilità non erano ancora state individuate e pubblicate: i punteggi a loro assegnati sono 8,8 per la prima CVE e 6,3 per la seconda.

Al momento queste vulnerabilità sono sfruttate per creare backdoor sui sistemi sotto attacco e per eseguire movimenti laterali al fine di infettare anche gli altri server nel sistema.

Mitigazione temporanea in attesa della patch
GTSC ha pubblicato una serie di misure adottabili come mitigazione temporanea del problema, così da minimizzare il rischio di attacchi in attesa che Microsoft rende disponibili i necessari fix. Sottolineiamo che i ricercatori GTSC hanno verificato che le versioni Exchange sotto attacco erano aggiornate, quindi lo sfruttamento delle vulnerabilità non è relativo alla vulnerabilità ProxyShell.

Microsoft ha spiegato che i clienti che utilizzano Microsoft Exchange in locale devono verificare e applicare le seguenti istruzioni di URL Rewrite e bloccare le porte remote PowerShell esposte. La mitigazione, in pratica, consiste nell'aggiungere una regola IIS capace di bloccare le richieste di connessione al componente vulnerabile.

Per fare ciò, GTSC consiglia di cercare il sito Autodiscover tra quelli creati in IIS, quindi aggiungere all'URL rewrite una nuova regola che blocchi le richieste.

Apri IIS Manager
espandi Defaul Web Site
seleziona Autodiscover
clicca su URL Rewrite
aggiungi una nuova regola
seleziona il Blocco Richieste e clicca su OK
aggiungi la stringa .*autodiscover\.json.*\@.*Powershell.*nel campo Pattern e clicca su OK
scegli Regular expression e in Condition Input imposta {REQUEST_URI}.
Dato che gli attaccanti possono ottenere l'accesso anche al PowerShell Remoting nei server Exchange esposti e vulnerabili tramite l'exploit della CVE-2022-41082, Microsoft consiglia anche di bloccare le seguenti porte Remote PowerShell:

HTTP: 5985
HTTPS: 5986
Ulteriori informazioni tecniche, indicatori di compromissione e info sono disponibili nella "Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server"

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy