Dati dei dipendenti di Amazon compromessi in una fuga di dati mentre l'attacco informatico MOVEit continua a mietere vittime

A diciotto mesi dall'attacco che ha sfruttato una vulnerabilità SQL injection zero-day (CVE-2023-34362) nello strumento MOVEit Transfer di Progress Software, continuano a emergere nuove vittime.

Questa settimana Amazon ha confermato una violazione che ha coinvolto i dati di oltre due milioni di dipendenti. La vulnerabilità, risolta a maggio 2023, è stata sfruttata dal gruppo ransomware Cl0p per colpire organizzazioni a livello globale.

Le prime vittime nel Regno Unito includevano BBC, Boots e British Airways, compromesse tramite lo specialista dei salari Zellis.

Recentemente, una società di sicurezza informatica ha rivelato una fuga di dati che ha colpito almeno 25 aziende, pubblicata da un attore noto come "Nam3L3ss" su un forum di criminalità informatica.

I ricercatori hanno osservato che i dati di Amazon – 2,8 milioni di record – costituiscono il più grande set di dati trapelato. I dati includono dettagli di contatto dei dipendenti e ruoli organizzativi, potenzialmente utili per attacchi di phishing mirati. Gal ha confermato l'autenticità dei dati incrociandoli con profili LinkedIn e infezioni da malware note.

Un rappresentante di Amazon ha riconosciuto la violazione, precisando che i sistemi di Amazon rimangono sicuri e che solo le informazioni di contatto lavorative sono state esposte. Sebbene Nam3L3ss dichiari di non avere affiliazioni con gruppi di ransomware e di essere un hacker etico, gli esperti di sicurezza rimangono scettici sulle loro affermazioni.

La violazione MOVEit illustra come i dati rubati riemergano sul dark web, anche un anno dopo l'attacco iniziale. Egli ha osservato che, sebbene Nam3L3ss possa non essere stato coinvolto nella violazione originale, i loro post sui dati mostrano come gli hacker continuino a monetizzare le informazioni rubate, causando potenzialmente danni significativi.

Patch Tuesday di Microsoft a novembre ha risolto 89 vulnerabilità, incluse due Zero-Day attivamente sfruttate

Il Patch Tuesday di Microsoft di novembre 2024 ha affrontato 89 vulnerabilità di sicurezza, incluse quattro gravi falle zero-day, di cui due attualmente in fase di sfruttamento. Questi aggiornamenti coprono una serie di problemi, in particolare 52 vulnerabilità di esecuzione di codice remoto e 26 falle di elevazione di privilegi.

Tra le patch critiche, CVE-2024-43451, una vulnerabilità di spoofing NTLM, consente agli aggressori di estrarre hash NTLM con minima interazione, portando a potenziali attacchi di impersonificazione. Un'altra falla attivamente sfruttata, CVE-2024-49039, consente un'escalation di privilegi tramite Windows Task Scheduler, offrendo agli aggressori un accesso di livello superiore.

Questo Patch Tuesday risolve anche vulnerabilità pubblicamente divulgate, inclusa una falla di spoofing in Microsoft Exchange (CVE-2024-49040) e una questione di elevazione dei privilegi in Active Directory (CVE-2024-49019). In particolare, gli aggiornamenti di questo mese affrontano problemi già risolti in Microsoft Edge e aggiornamenti cumulativi di Windows (KB5046617, KB5046633 per Windows 11 e KB5046613 per Windows 10).

Queste patch sottolineano la necessità di pratiche di cyber sicurezza robuste, poiché le vulnerabilità, specialmente quelle zero-day, presentano rischi immediati se non affrontate. Microsoft consiglia agli utenti di applicare queste patch prontamente per proteggersi da possibili sfruttamenti.

NCSC e partner globali rivelano le vulnerabilità più sfruttate, invitano ad aggiornamenti rapidi e pratiche Secure-by-Design

Il National Cyber Security Centre (NCSC), in collaborazione con partner di Stati Uniti, Canada, Australia e Nuova Zelanda, ha pubblicato una raccomandazione elencando le 15 vulnerabilità sfruttate più frequentemente nel 2023. La maggior parte di queste vulnerabilità è stata inizialmente mirata come zero-day, segnando un aumento nello sfruttamento degli zero-day rispetto al 2022.

Questo avviso evidenzia la necessità urgente per i difensori della rete di rafforzare la gestione delle vulnerabilità applicando rapidamente gli aggiornamenti di sicurezza e identificando accuratamente le risorse. L'NCSC invita inoltre i fornitori di tecnologia ad adottare principi secure-by-design per mitigare i rischi alla fonte.

Il CTO di NCSC, Ollie Whitehouse, ha sottolineato l'importanza di misure proattive: “Lo sfruttamento routinario delle vulnerabilità zero-day è ora la nuova normalità, evidenziando la necessità per le organizzazioni di applicare le patch prontamente e di dare priorità ai prodotti secure-by-design”.

Sono disponibili patch per tutte le vulnerabilità elencate, ma per gli zero-day, un'azione tempestiva è cruciale per ridurre l'esposizione. L'avviso include inoltre dettagli su 32 ulteriori vulnerabilità sfruttate lo scorso anno.

Hive0145 intensifica gli attacchi con il malware Strela Stealer, mirato alle credenziali email in Spagna, Germania e Ucraina

Il gruppo di cybercriminali Hive0145 ha intensificato gli attacchi in Europa utilizzando il malware Strela Stealer per rubare credenziali email sensibili, con particolare impatto in Spagna, Germania e Ucraina, secondo i ricercatori IBM X-Force. Le tattiche di Hive0145 si sono evolute da phishing generico all'utilizzo di email rubate e legittime con allegati di fatture reali, aumentando la credibilità e superando le rilevazioni – una tecnica nota come “hijacking degli allegati.”

Operando come broker di accesso iniziale a scopo finanziario dal 2022, Hive0145 ha aumentato la propria attività e complessità a partire dalla metà del 2023, prendendo di mira settori come finanza, tecnologia ed e-commerce. Nelle campagne recenti, il gruppo utilizza estensioni di file inusuali (.com, .pif) e script offuscati per evitare gli strumenti di sicurezza, con evidenze che suggeriscono che alcune parti del processo potrebbero ora essere automatizzate per aumentare la scala.

Il focus di Strela Stealer rimane sulle credenziali email, colpendo principalmente dispositivi con impostazioni di tastiera in spagnolo, tedesco o ucraino. IBM X-Force consiglia alle organizzazioni europee di rafforzare la consapevolezza e le difese contro questa minaccia crescente, specialmente nei settori comunemente imitati negli attacchi di phishing.

CISA invita ad un'azione immediata sulle vulnerabilità critiche di Microsoft Windows CVE-2024-49039 e CVE-2024-43451

La Cybersecurity and Infrastructure Security Agency (CISA) ha allertato le organizzazioni su due vulnerabilità critiche di Microsoft Windows, CVE-2024-49039 e CVE-2024-43451, invitando a mitigazioni tempestive per evitare possibili sfruttamenti.

La prima vulnerabilità, CVE-2024-49039, colpisce Windows Task Scheduler, consentendo agli attaccanti locali di elevare i privilegi eseguendo codice dannoso al di fuori di ambienti ristretti. Lo sfruttamento di questa falla potrebbe concedere agli attaccanti accesso a funzioni RPC privilegiate, mettendo a rischio ulteriori compromissioni. Sebbene il suo utilizzo in campagne di ransomware non sia confermato, la gravità della vulnerabilità richiede un'attenzione immediata.

La seconda vulnerabilità, CVE-2024-43451, coinvolge la divulgazione dell'hash NTLMv2 in Microsoft Windows, dove gli attaccanti potrebbero estrarre hash NTLMv2 inducendo gli utenti ad aprire file dannosi. Questo hash consente l'impersonificazione non autorizzata degli utenti, rappresentando una minaccia sostanziale per le organizzazioni che si affidano all'autenticazione NTLM.

CISA consiglia di seguire le istruzioni di mitigazione di Microsoft o di interrompere l'uso dei sistemi interessati se le patch non sono disponibili. Un'azione immediata è cruciale per prevenire che queste vulnerabilità vengano sfruttate in attacchi futuri. Le organizzazioni sono incoraggiate a rimanere vigili e a monitorare i segni di compromissione.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.