Sommario
La sicurezza informatica rimane una preoccupazione crescente per le organizzazioni di tutto il mondo e, recentemente, due eventi significativi hanno evidenziato le vulnerabilità che possono essere sfruttate dai malintenzionati: la violazione della Commissione Elettorale del Regno Unito, legata a vulnerabilità di Microsoft Exchange Server, e le campagne di phishing che hanno preso di mira le piccole e medie imprese (PMI) in Polonia tramite ModiLoader. Analizziamo in dettaglio questi eventi per comprendere le minacce e le misure necessarie per mitigare i rischi.
Violazione della Commissione Elettorale del Regno Unito Legata a Vulnerabilità di Exchange Server
L’Information Commissioner’s Office (ICO) del Regno Unito ha rivelato che la violazione della Commissione Elettorale, avvenuta nell’agosto 2021, è stata causata dalla mancata applicazione delle patch al Microsoft Exchange Server, rendendolo vulnerabile agli attacchi.
Dettagli della Violazione
Nel marzo 2021, il National Cyber Security Centre (NCSC) del Regno Unito ha attribuito la violazione della Commissione Elettorale a un attore di minacce sostenuto dallo stato cinese. Le vulnerabilità coinvolte, identificate come CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207, sono state sfruttate per accedere al server Exchange della commissione e installare web shell, consentendo agli attaccanti di mantenere la persistenza nel sistema.
Nonostante Microsoft avesse rilasciato aggiornamenti di sicurezza per risolvere queste vulnerabilità nel maggio 2021, la commissione non ha applicato le patch in modo tempestivo, esponendo i suoi sistemi agli attacchi.
Impatto della Violazione
La violazione ha permesso agli hacker cinesi di accedere alle informazioni personali di circa 40 milioni di persone, inclusi nomi, indirizzi di casa, indirizzi email e numeri di telefono. Sebbene la commissione abbia minimizzato l’impatto, affermando che molte delle informazioni erano già di dominio pubblico, solo i nomi e gli indirizzi degli elettori sono pubblicamente disponibili nel registro aperto del Regno Unito.
Reazione dell’ICO
L’ICO ha rimproverato la Commissione Elettorale per non aver protetto adeguatamente i propri sistemi e le informazioni personali di milioni di elettori. Il Vice Commissario Stephen Bonner ha dichiarato che se la commissione avesse adottato misure di sicurezza di base, come l’applicazione efficace delle patch e la gestione delle password, è molto probabile che questa violazione non si sarebbe verificata. Tuttavia, Bonner ha aggiunto che non ci sono prove che le informazioni personali siano state utilizzate in modo improprio da quando sono state accessibili nel 2021.
Campagne di phishing mirate alle PMI polacche tramite ModiLoader
ESET Research ha rilevato diverse campagne di phishing su larga scala che hanno preso di mira le piccole e medie imprese (PMI) in Polonia nel maggio 2024, distribuendo vari tipi di malware tramite ModiLoader.
Dettagli delle campagne di Phishing
Durante il maggio 2024, ESET ha rilevato nove campagne di phishing significative che hanno preso di mira PMI in Polonia, Romania e Italia. Queste campagne utilizzavano ModiLoader per distribuire malware come Rescoms, Agent Tesla e Formbook. Gli attaccanti utilizzavano account email e server aziendali compromessi per diffondere email malevoli, ospitare malware e raccogliere dati rubati.
Metodo di attacco
Le email di phishing contenevano allegati malevoli che spingevano le vittime ad aprirli. Gli allegati erano spesso file ISO o archivi contenenti eseguibili di ModiLoader o script batch pesantemente offuscati. Una volta lanciato, ModiLoader scaricava e avviava il malware successivo da server compromessi o dallo storage cloud di OneDrive.
Le violazioni della sicurezza, sia attraverso vulnerabilità non patchate che tramite sofisticate campagne di phishing, continuano a rappresentare una seria minaccia per le organizzazioni. È fondamentale per le aziende mantenere aggiornati i loro sistemi e adottare misure di sicurezza robuste per proteggere i dati sensibili.
