Cleo, azienda leader nel software di trasferimento file gestito (MFT), è al centro di una vulnerabilità critica (CVE-2024-50623) che ha già permesso a cybercriminali di condurre attacchi di esecuzione remota di codice (RCE) e furti di dati. La falla riguarda i prodotti Cleo LexiCom, VLTrader e Harmony, esponendo migliaia di sistemi in tutto il mondo a rischi significativi.

La vulnerabilità e gli attacchi documentati

Il problema risiede in un difetto che consente il caricamento di file non autenticati, sfruttabile per installare malware e ottenere accesso remoto ai sistemi compromessi. Gli attacchi sono iniziati il 3 dicembre 2024, con un picco l’8 dicembre, e hanno preso di mira settori come logistica, distribuzione alimentare e prodotti di consumo.

Huntress e altre società di sicurezza hanno identificato il malware utilizzato dagli aggressori, che sfrutta il caricamento di file XML nella directory “autorun”. Questi file eseguono comandi PowerShell o bash, scaricano ulteriori payload come file JAR malevoli e rimuovono le tracce per ostacolare le indagini forensi.

Tra i responsabili degli attacchi è stato individuato il gruppo Termite, noto per attacchi ransomware, che ha recentemente compromesso Blue Yonder, un fornitore di software per la supply chain.

Azioni correttive e consigli per gli utenti

Cleo ha rilasciato patch per i prodotti vulnerabili (versione 5.8.0.24), ma molti sistemi rimangono esposti. È essenziale adottare immediatamente le seguenti misure:

• Applicare le patch più recenti.
• Proteggere i sistemi esposti con firewall e limitare l’accesso remoto.
• Controllare directory e log per identificare file sospetti o attività non autorizzate.

Cleo ha inoltre fornito script per individuare ed eliminare file XML malevoli e raccomanda di disattivare la funzionalità “autorun”.

La vulnerabilità nei prodotti Cleo evidenzia l’importanza di mantenere aggiornati i sistemi e di monitorare attentamente l’attività nei server esposti. L’azione combinata di patch tempestive e buone pratiche di sicurezza è fondamentale per proteggere le aziende da attacchi sempre più sofisticati.

Il gruppo di cyber-spionaggio Turla, noto anche come “Secret Blizzard”, continua a sfruttare infrastrutture di altri hacker per colpire dispositivi critici in Ucraina. Utilizzando malware avanzati come Tavdig e KazuarV2, Turla si concentra su bersagli di alto valore, tra cui dispositivi militari connessi tramite Starlink, dimostrando una strategia sofisticata e mirata per raccogliere intelligence sul campo.

Tecniche e infrastruttura utilizzate da Turla

Turla ha recentemente sfruttato l’infrastruttura della botnet Amadey e il malware di un altro gruppo russo, Storm-1837, per distribuire i propri strumenti malevoli. In alcuni casi, Turla ha utilizzato Amadey per scaricare un dropper PowerShell che caricava payload personalizzati come Tavdig.

Questi attacchi iniziano con email di phishing contenenti allegati malevoli o backdoor che sfruttano vulnerabilità note, come la falla di WinRAR CVE-2023-38831. Gli strumenti di Turla sono poi utilizzati per identificare e compromettere dispositivi di interesse strategico, inclusi quelli che utilizzano connessioni Starlink, cruciali per le comunicazioni militari.

Malware Tavdig e KazuarV2: armi principali di Turla

Tavdig e KazuarV2 sono componenti fondamentali nell’arsenale di Turla.

• Tavdig: progettato per stabilire una presenza iniziale sui dispositivi compromessi, raccoglie credenziali, configura reti e scarica payload aggiuntivi.
• KazuarV2: un backdoor stealth per la raccolta di dati sensibili e l’esecuzione di comandi. Grazie alla sua capacità modulare, KazuarV2 può essere adattato per missioni di spionaggio specifiche.

Questi malware operano in modo silente, iniettandosi in processi legittimi come “explorer.exe”, rendendo difficile il rilevamento da parte dei sistemi di sicurezza.

Obiettivi e significato geopolitico

Le operazioni di Turla, legate all’FSB russo, dimostrano una sofisticata strategia di spionaggio cibernetico volta a raccogliere informazioni critiche sulle attività militari ucraine. L’utilizzo di infrastrutture altrui, come botnet Amadey e il malware Cookbox di Storm-1837, non solo permette di mascherare l’origine degli attacchi, ma amplifica l’efficacia delle operazioni. Target prioritari includono dispositivi di comunicazione militare connessi a Starlink, una risorsa essenziale per le truppe in prima linea.

Raccomandazioni di sicurezza

Microsoft suggerisce diverse misure di mitigazione per contrastare le attività di Turla:

• Monitorare le reti per rilevare l’uso di dropper PowerShell e attività sospette correlate ad Amadey.
• Verificare i dispositivi connessi a sistemi critici, come quelli che utilizzano Starlink, per identificare eventuali anomalie.
• Implementare le query di caccia e i suggerimenti forniti da Microsoft per individuare le attività di Tavdig e KazuarV2.

Collaborazione internazionale

Questi attacchi sottolineano la necessità di un’efficace collaborazione tra i governi e il settore privato per proteggere le infrastrutture critiche. I rapporti forniti da Microsoft e altri esperti di sicurezza sono cruciali per anticipare e neutralizzare operazioni di questa portata.

Gli attacchi cibernetici di Turla contro l’Ucraina rappresentano una delle più avanzate operazioni di spionaggio del panorama attuale. Attraverso strumenti modulari e infrastrutture camuffate, il gruppo mostra un alto grado di adattabilità, richiedendo risposte altrettanto sofisticate per proteggere risorse critiche e comunicazioni sensibili.

Il plugin Hunk Companion, utilizzato per migliorare le funzionalità di temi WordPress sviluppati da ThemeHunk, è al centro di una grave vulnerabilità. La falla, classificata come CVE-2024-11972, permette l’installazione arbitraria di plugin vulnerabili tramite richieste POST non autenticate, mettendo a rischio oltre 10.000 siti WordPress.

L’origine della minaccia Hunk Companion

La vulnerabilità, scoperta dal ricercatore Daniel Rodriguez di WPScan, consente agli hacker di installare plugin con note vulnerabilità direttamente dal repository di WordPress.org. Questi plugin, spesso obsoleti, sono sfruttati per eseguire codice malevolo o creare account di amministratori backdoor.

Durante un’analisi, WPScan ha rilevato che gli aggressori utilizzavano la vulnerabilità per installare plugin come WP Query Console, aggiornato l’ultima volta oltre 7 anni fa, e sfruttarlo per lanciare attacchi di esecuzione remota di codice (RCE). Attraverso questa tecnica, gli hacker inseriscono dropper PHP nella directory principale del sito, garantendo accesso persistente tramite richieste GET non autenticate.

Azioni correttive e consigli

Hunk Companion ha rilasciato la versione 1.9.0 per affrontare il problema, ma la portata dell’attacco resta significativa: più di 8.000 siti non hanno ancora applicato l’aggiornamento.

Gli utenti sono caldamente invitati a:

• Aggiornare immediatamente alla versione 1.9.0.
• Verificare la presenza di plugin sospetti o obsoleti, rimuovendoli se necessario.
• Monitorare i file del sito per identificare dropper o codice non autorizzato.

Questo caso dimostra quanto sia cruciale mantenere i plugin aggiornati e monitorare costantemente la sicurezza dei siti WordPress. La collaborazione tra sviluppatori e amministratori resta essenziale per mitigare rischi simili.