Per le ultime scoperte nella ricerca informatica per la settimana del 4 settembre, scarica il nostro Bollettino di Threat_Intelligence
ATTACCHI E VIOLAZIONI TOP
- L’FBI annunciato operazione ‘Duck Hunt’ che smantella l’operazione malware Qakbot (Qbot) attiva almeno dal 2008. Qakbot è noto per infettare le vittime tramite e-mail di spam con allegati e collegamenti dannosi, fungendo anche da piattaforma per operatori di ransomware. Ha colpito oltre 700.000 computer in tutto il mondo, tra cui istituti finanziari, appaltatori governativi e produttori di dispositivi medici.
Check Point Research lo è condivisione la sua analisi del malware Qakbot e delle sue operazioni nel corso degli anni.
Check Point Harmony Endpoint e Threat Emulation forniscono protezione contro questa minaccia (Trojan.Wins.Qbot; Trojan.Win.Qbot; Trojan.Downloader.Win.Qbot; Trojan-PSW.Win32.Qakbot; Trojan.WIN32.Qakbot)
- Il principale marchio di abbigliamento Forever 21 ha divulgato una violazione dei dati che ha colpito quasi 540.000 dipendenti attuali ed ex. I dati trapelati consistono in informazioni personali come nomi, date di nascita, numeri di previdenza sociale, numeri di conto bancario e informazioni sui piani sanitari dei dipendenti.
- La società americana di attrezzature da golf Callaway ha subìto una violazione dei dati che ha colpito le informazioni personali di oltre 1 milione di clienti. Le informazioni esposte includono password degli account e risposte a domande di sicurezza, nonché nomi, indirizzi, e-mail, numeri di telefono e cronologia degli ordini. Secondo la società non sono trapelati numeri di carte di pagamento o numeri di previdenza sociale.
- Il colosso americano dell’intrattenimento Paramount Global lo ha fatto confermato una violazione dei dati che ha potenzialmente comportato l’esposizione delle informazioni personali di clienti e dipendenti. I dati trapelati includono nomi, date di nascita, numeri di previdenza sociale, numeri di patente di guida e numeri di passaporto.
- L’Università del Michigan ha esperto un attacco informatico che ha comportato la perdita dell’accesso a Internet e di altre funzioni aziendali in tutta l’università. Per precauzione, la scuola ha messo offline tutti i suoi servizi.
- La piattaforma di codifica basata sull’intelligenza artificiale di Sourcegraph rivelato una violazione dei dati che potrebbe influenzare le informazioni dei clienti come chiavi di licenza, nomi e indirizzi e-mail. Sourcegraph sostiene che l’accesso ottenuto dagli autori delle minacce non ha portato a una modifica o copia di dati o codici privati.
- Il gruppo ransomware BlackCat (AlphV) ha assunto la responsabilità per l’attacco alla contea di Forsyth, in Georgia, avvenuto lo scorso giugno. L’attacco ha comportato la crittografia di oltre 350 GB di dati.
Check Point Harmony Endpoint e Threat Emulation forniscono protezione contro questa minaccia (Ransomware.Win.BlackCat, Ransomware_Linux_BlackCat)
VULNERABILITÀ E PATCH
- Gli attori delle minacce sono attivi sfruttando vulnerabilità RCE critiche (da CVE-2023-36844 a CVE-2023-36847) negli switch Juniper EX e nei firewall SRX, dopo il rilascio di un exploit proof-of-concept. Uno sfruttamento efficace consentirà agli aggressori non autenticati di eseguire in remoto codice su dispositivi privi di patch. Anche Juniper ha avvertito di un bug di negazione del servizio (CVE-2023-4481) in Junos OS e Junos OS Evolved.
- È stato un codice di exploit proof-of-concept condiviso per una vulnerabilità critica di bypass dell’autenticazione SSH (CVE-2023-34039) nello strumento di analisi Aria Operations for Networks di VMware (corretto con il rilascio della versione 6.11). Uno sfruttamento efficace potrebbe consentire agli aggressori remoti di aggirare l’autenticazione SSH su dispositivi privi di patch e accedere alla riga di comando dello strumento.
- Netgear ha rilasciato patch per due vulnerabilità di elevata gravità (CVE-2023-41182 e CVE-2023-41183) che colpiscono uno dei suoi modelli di router e il suo software di gestione della rete.
- I ricercatori hanno identificato una vulnerabilità di gravità critica (CVE-2023-40004) in All-in-One WP Migration Extensions, un popolare plugin WordPress utilizzato per le migrazioni dei siti web. Uno sfruttamento riuscito potrebbe comportare la manipolazione di token di accesso non autenticati.
MINACCIA RAPPORTI DELL’INTELLIGENZA
- Check Point Research ha pubblicato un’analisi tecnica che evidenzia le somiglianze tra il ladro di informazioni Rhadamanthys e il minatore di monete Hidden Bee. Le somiglianze includono la progettazione, l’implementazione e altri formati eseguibili personalizzati complessivamente analoghi.
Check Point Harmony Endpoint e Threat Emulation forniscono protezione contro questa minaccia (InfoStealer.Wins.Rhadamanthys.C/D)
- I ricercatori hanno osservato una nuova campagna sospettata di essere correlata al gruppo di hacking FIN8, che ora prende di mira i server Citrix NetScaler ADC e Gateway sfruttando la vulnerabilità RCE di gravità critica CVE-2023-3519 che era stata corretta lo scorso luglio.
Check Point IPS fornisce protezione contro questa minaccia (Esecuzione del codice remoto Citrix NetScaler (CVE-2023-3519))
- Ricercatori dettaglio gli sforzi post-rimedi da parte di UNC4841, un attore di minacce sospettato di essere un gruppo di hacker cinese, che ha preso di mira i server di posta elettronica del governo statunitense utilizzando una vulnerabilità zero-day nelle apparecchiature Barracuda Email Security Gateway (ESG). Gli attacchi hanno comportato la compromissione degli account di posta elettronica e il furto di dati sensibili.
Check Point IPS e Threat Emulation forniscono protezione contro questa minaccia (Inserimento comandi Barracuda Email Security Gateway (CVE-2023-2868); Trojan.Wins.Saltwater; Exploit.Wins.CVE_2023_2868)