Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 20 Novembre 2021 11:19
Sembra paradossale avere una porta blindata che può essere aperta con un click. Ma di fatto le vulnerabilità di FortiOS vengono utilizzate ancora dal cybercrime, in quanto le azienda (governative e non), non hanno proceduto all’installazione delle patch di sicurezza rilasciate dal fornitore già da diversi mesi.
E questo non è il caso solo di FortiOS, ma anche delle vulnerabilità su Microsoft Exchange.
Infatti, le organizzazioni responsabili delle infrastrutture critiche negli Stati Uniti sono nel mirino degli hacker del governo iraniano, che stanno sfruttando le vulnerabilità pubbliche nei prodotti aziendali quali Microsoft e Fortinet, hanno avvertito mercoledì funzionari governativi di Stati Uniti, Regno Unito e Australia.
Un avviso congiunto pubblicato mercoledì ha affermato che un gruppo di minacce persistenti avanzate supportato dal governo iraniano sta sfruttando le vulnerabilità di Microsoft Exchange e FortiOS di Fortinet.
Tutte le vulnerabilità identificate sono state corrette, ma non tutti coloro che utilizzano i prodotti hanno installato gli aggiornamenti.
L’avviso è stato rilasciato dall’FBI, dalla US Cybersecurity and Infrastructure Security Agency, dal National Cyber Security Center del Regno Unito e dall’Australian Cyber Security Center.
“Gli attori APT sponsorizzati dal governo iraniano stanno attivamente prendendo di mira un’ampia gamma di vittime in più settori delle infrastrutture critiche statunitensi, tra cui il settore dei trasporti e il settore sanitario e della sanità pubblica, nonché le organizzazioni australiane”
ha affermato l’avviso.
“FBI, CISA, ACSC e NCSC valutano che gli attori delle minacce si concentrino sullo sfruttamento di vulnerabilità note piuttosto che su settori specifici. Questi attori APT sponsorizzati dal governo iraniano possono sfruttare questo accesso per operazioni successive, come l’esfiltrazione o la crittografia dei dati, il ransomware e l’estorsione”.
L’advisory afferma che l’FBI e la CISA stanno osservando che il gruppo sfrutta le vulnerabilità di Fortinet almeno da marzo e le vulnerabilità di Microsoft Exchange almeno da ottobre per ottenere l’accesso iniziale ai sistemi.
Gli hacker avviano quindi operazioni successive che includono la distribuzione di ransomware.
A maggio, gli aggressori hanno preso di mira un comune americano non specificato, dove probabilmente hanno creato un account con il nome utente “elie” per muoversi all’interno della rete compromessa.
Un mese dopo, hanno hackerato un ospedale con sede negli Stati Uniti specializzato in assistenza sanitaria per i bambini. L’ultimo attacco probabilmente ha coinvolto i server collegati all’Iran con indirizzi IP 91.214.124[.]143, 162.55.137[.]20 e 154.16.192[.]70.
I black hacker potrebbero aver creato nuovi account utente sui controller di dominio, sui server, e nelle workstation e directory attive delle reti che hanno compromesso. Alcuni account sembrano imitare gli account esistenti, quindi i nomi utente sono simili agli account utilizzati dall’organizzazione.
L’avviso afferma che il personale addetto alla sicurezza della rete dovrebbe cercare account non riconosciuti con particolare attenzione a nomi utente come Support, Help, elie e WADGUtilityAccount.
L’avviso arriva un giorno dopo che Microsoft ha riferito che un gruppo collegato all’Iran chiamato Phosphorous sta usando sempre più il ransomware per generare entrate o disturbare gli avversari. Il gruppo impiega “attacchi di forza bruta” sugli obiettivi, ha aggiunto Microsoft.
All’inizio di quest’anno, ha affermato Microsoft, Phosphorus ha scansionato milioni di indirizzi IP Internet alla ricerca di sistemi FortiOS che dovevano ancora installare le correzioni di sicurezza per CVE-2018-13379. Il difetto ha permesso agli hacker di raccogliere credenziali in chiaro utilizzate per accedere in remoto ai server. Phosphorus ha finito per raccogliere credenziali da oltre 900 server Fortinet negli Stati Uniti, in Europa e in Israele.
RedazioneLa saga sulla sicurezza dei componenti di React Server continua questa settimana. Successivamente alla correzione di una vulnerabilità critica relativa all’esecuzione di codice remoto (RCE) che ha ...
Un nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
