UNC5812: Campagna cibernetica russa prende di mira utenti Android e Windows in operazioni di spionaggio e influenza

Ricercatori della sicurezza del Threat Analysis Group di Google e specialisti di Mandiant hanno scoperto una campagna cibernetica russa sofisticata, identificata come UNC5812, che prende di mira utenti Android e Windows. Lanciata a settembre 2024, questa operazione combina tattiche di spionaggio e influenza, sotto le spoglie di un personaggio di "Difesa Civile" su Telegram, utilizzato per diffondere malware attraverso un canale Telegram e un sito web correlato. Fingendo di essere un fornitore di software gratuito, il malware appare come uno strumento di mappatura per individuare reclutatori militari in Ucraina.

Il braccio di influenza di UNC5812 utilizza canali Telegram in lingua ucraina per diffondere narrazioni anti-mobilitazione pro-Russia. Questi post promossi mirano a erodere il sostegno pubblico all'interno dell'Ucraina, inserendo sentimenti pro-russi nei feed di notizie legittimi. Il Threat Analysis Group di Google conferma che l'operazione è in corso, con canali in lingua ucraina che promuovono post fino al recente 8 ottobre. I ricercatori ritengono che UNC5812 stia espandendo attivamente la sua portata verso nuove comunità, prolungando potenzialmente questa campagna di disinformazione.

Interbank del Perù conferma una violazione dei dati mentre un hacker divulga informazioni sensibili dei clienti online

Interbank, una delle principali banche del Perù, ha confermato una violazione dei dati a seguito di un attacco da parte di un attore minaccioso che ha divulgato online dati dei clienti. Interbank, precedentemente noto come Banco Internacional del Perú, serve oltre 2 milioni di clienti.

"Abbiamo identificato che alcuni dati di un gruppo di clienti sono stati esposti da una terza parte senza la nostra autorizzazione," ha dichiarato Interbank, aggiungendo di aver implementato ulteriori misure di sicurezza per proteggere le informazioni dei clienti. Nonostante alcuni periodi di inattività dell’app e delle piattaforme online della banca, Interbank assicura ai clienti che la maggior parte dei servizi è nuovamente operativa e che i depositi sono al sicuro.

La violazione mostra l'attore "kzoldyck" che vende dati rubati, inclusi nomi dei clienti, dettagli degli account, informazioni delle carte di credito e credenziali in testo chiaro su forum di hacking. L'attaccante afferma che i dati riguardano oltre 3 milioni di account e includono credenziali interne sensibili. Sebbene la banca abbia presumibilmente avviato negoziati, alla fine ha rifiutato di soddisfare la richiesta di estorsione.

CSE del Canada rivela attacchi cibernetici da parte di Cina e India che prendono di mira i settori governativo e privato

La Communications Security Establishment (CSE) del Canada ha segnalato operazioni cibernetiche in corso che prendono di mira reti governative canadesi da parte di attori sostenuti da stati, in particolare dalla Repubblica Popolare Cinese (RPC). Negli ultimi cinque anni, queste incursioni cibernetiche hanno mirato a raccogliere informazioni politiche e commerciali per servire gli interessi strategici della Cina, inclusi spionaggio, furto di proprietà intellettuale e repressione transnazionale.

La valutazione della minaccia cibernetica nazionale della CSE rivela che attori della RPC hanno compromesso almeno 20 reti governative canadesi, concentrandosi su funzionari critici nei confronti del Partito Comunista Cinese (PCC). Un’operazione ha preso di mira l'Alleanza Interparlamentare sulla Cina. Anche il settore privato canadese è stato colpito, con attori statali che hanno preso di mira industrie che sviluppano tecnologie all'avanguardia, come 6G, calcolo quantistico e Web 3.0.

Il rapporto cita inoltre l'India come una minaccia cibernetica in aumento, collegata a tensioni diplomatiche a seguito delle accuse di coinvolgimento indiano nella morte dell'attivista sikh Hardeep Singh Nijjar in Canada. Hacktivisti allineati all’India hanno successivamente preso di mira reti militari e parlamentari canadesi.

La Polizia olandese smantella le reti di malware Redline e Meta in una vasta operazione internazionale contro il crimine informatico

La Polizia Nazionale Olandese ha smantellato l'infrastruttura di rete dietro i malware infostealer Redline e Meta nell'“Operazione Magnus”, un’iniziativa coordinata con l'FBI e le forze dell’ordine internazionali. Redline e Meta, entrambi infostealer noti, raccolgono informazioni sensibili dai browser, come credenziali di accesso, cookie di autenticazione, portafogli di criptovalute e cronologia di navigazione, che i criminali informatici successivamente vendono o utilizzano per eseguire violazioni di dati, attacchi ransomware e cyber-spionaggio.

Annunciata su un sito web dedicato, l'Operazione Magnus avverte che i dati sequestrati potrebbero portare ad arresti. Le autorità ora detengono informazioni dettagliate, comprese le credenziali degli account, indirizzi IP e altri dati critici. Le forze dell'ordine hanno anche avuto accesso al codice sorgente, compresi i server di licenza, i servizi API e i bot Telegram associati a entrambi i malware.

La polizia olandese ha iniziato a notificare ai cybercriminali tramite post su forum, ricordando loro che sono sotto monitoraggio. Ulteriori aggiornamenti e potenziali arresti sono attesi a breve, segnalando un colpo significativo per la comunità del crimine informatico.

Violazione del database della Sicurezza Nazionale Italiana espone i dati di 800.000 persone, inclusi alti funzionari

Una violazione del database della Sicurezza Nazionale italiana ha esposto informazioni sensibili di 800.000 individui, inclusi personaggi di alto profilo come il Presidente Sergio Mattarella e l'ex Primo Ministro Matteo Renzi, come riportato da The Cyber Express. L'azienda investigativa di Milano Equalize, guidata dall'ex ufficiale di polizia Carmine Gallo, è accusata di aver orchestrato l’hack dal 2019 al marzo 2024. I procuratori accusano Gallo, insieme ai co-cospiratori Nunzio Samuele Calamucci, Massimiliano Camponovo e Giulio Cornelli, di aver facilitato la violazione utilizzando agenti di polizia corrotti, trojan di accesso remoto e accessi non autorizzati tramite il personale di manutenzione del Ministero dell’Interno.

Le autorità stanno anche indagando su potenziali legami con l'erede di Luxottica Leonardo Maria Del Vecchio e l'ex banchiere di Lehman Brothers Matteo Arpe. L'incidente ha provocato il dispiegamento di task force estese e ha spinto i legislatori italiani a richiedere una revisione completa dei protocolli di cyber sicurezza del Ministero dell'Interno in risposta alle implicazioni su vasta scala della violazione.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.