Hacktivisti e ransomware colpiscono l’Italia, attacchi alla cinese DeepSeek, nuove operazioni da Pyongyang e Pechino

Italia: attacchi DDoS, offensive ransomware e leak colpiscono il Paese

Anche questa settimana continuano gli attacchi contro obiettivi italiani. Sul versante hacktivista, un collettivo chiamato DXPLOIT ha rivendicato un’offensiva DDoS contro il portale del Corpo Nazionale dei Vigili del Fuoco, utilizzando gli hashtag #OpItaly e #FreePalestine; OverFlame ha colpito la pagina del Ministero del Turismo e ha usato l’hashtag #Italy404; infine, un gruppo filo-islamico soprannominato Mr Hamza ha bersagliato il sito del Ministero della Difesa. Quest’ultimo avrebbe inoltre sferrato un DDoS al portale di INTERPOL. Passando al panorama ransomware, Fog Team ha dichiarato sul proprio sito dei leak di aver compromesso ELTEK Group S.p.A., realtà di Casale Monferrato (AL) attiva nella ricerca, progettazione, sviluppo e produzione di componenti meccatronici; mentre Qilin Team di AKRAN Intellectual Property S.r.l., azienda composta da un team interdisciplinare specializzato nella tutela degli asset immateriali in Italia, nell’Unione Europea e all’estero, a livello giudiziale o stragiudiziale. Ad essi si aggiunge la società Marposs S.p.A. di Bentivoglio (BO), operante nella progettazione e produzione di apparecchiature di misurazione di precisione, la quale è caduta vittima di un attacco ransomware che ha comportato la criptazione di alcuni server parte del sistema. Da ultimo, Fondo Est – ente di assistenza sanitaria integrativa al Servizio Sanitario Nazionale – ha comunicato di aver appreso di una violazione di sicurezza ai danni di INPS Servizi, che potrebbe aver compromesso alcuni dati personali di cui lui stesso è titolare. Si ritiene possa trattarsi dello stesso breach di novembre 2024, presumibilmente opera dell’operatore ransomware Lynx Team; tuttavia, non sono stati rilasciati ulteriori dettagli in merito. In ambito underground, invece, un avversario rintracciato sotto il nome Truth-chan ha pubblicato su un noto forum un annuncio inerente la condivisione di presunti dati riconducibili a Fratelli d’Italia. Stando a quanto riportato nel post, le informazioni sarebbero state esfiltrate mediante attività di scraping da circa 12/13 mila curriculum di persone iscritte al partito, sfruttando una vulnerabilità di tipo Directory Listing del sito dell’associazione politica.

DeepSeek: attacchi informatici su larga scala e database ClickHouse esposto

La startup cinese DeepSeek ha comunicato sul proprio sito che, a causa di attacchi informatici su larga scala ai propri servizi, è stata costretta a limitare temporaneamente le registrazioni per garantire la continuità delle operazioni. Nel dettaglio, il 27 gennaio 2025 l’azienda è stata colpita da interruzioni di servizio sul suo sito web dopo che il suo assistente AI chiamato “DeepSeek – AI Assistant“, alimentato dal modello DeepSeek-V3, è diventato l’applicazione gratuita più popolare disponibile sull’App Store di Apple negli Stati Uniti, spodestando ChatGPT di OpenAI. Sebbene non siano stati condivisi dettagli sull’offensiva, si ritiene che la società abbia presumibilmente affrontato attacchi DDoS contro le sue API e la piattaforma di chat web. Sempre nell’ultima settimana, ricercatori di sicurezza hanno individuato un database ClickHouse pubblicamente accessibile appartenente a DeepSeek, che consentiva il pieno controllo delle operazioni, compresa la possibilità di accedere ai dati interni. Quest’ultimo conteneva un volume significativo di record, quali la cronologia delle chat, dati di backend e informazioni sensibili, inclusi flussi di log, segreti API e dettagli operativi. Oltre a ciò, l’esposizione consentiva il pieno controllo dell’archivio e la potenziale escalation dei privilegi all’interno dell’ambiente DeepSeek, senza alcun meccanismo di autenticazione o di difesa verso l’esterno. Tale database si è rivelato essere accessibile tramite l’interfaccia HTTP di ClickHouse, permettendo l’esecuzione diretta di query SQL arbitrarie via browser.

APT: le ultime dalla Corea del Nord e dalla Cina

Ricercatori di sicurezza hanno osservato il nordcoreano Lazarus Group utilizzare il RID Hijacking per creare un account backdoor. Nello specifico si tratta di una tecnica di attacco che prevede la modifica del valore Relative Identifier (RID) di un account con privilegi bassi per farlo corrispondere a quello di uno con privilegi elevati. In questo modo, l’attaccante può ingannare il sistema operativo, inducendolo a trattare il profilo compromesso come se avesse privilegi amministrativi. L’FBI ha rilasciato un nuovo advisory riguardo ai lavoratori IT della Corea del Nord, accusati di sfruttare l’accesso illegale alle reti aziendali per esfiltrare dati proprietari e sensibili, facilitare operazioni criminali e condurre attività che generano reddito per conto del regime di Pyongyang. Spostandoci in Cina, sono state rilevate diverse operazioni di spionaggio informatico condotte da avversari associati a Pechino che utilizzano ShadowPad e impiegano un compilatore offuscante custom soprannominato ScatterBrain, che facilita gli attacchi contro varie entità in Europa e nella regione dell’Asia Pacifica (APAC). Verosimilmente un’evoluzione di ScatterBee, ScatterBrain integra molteplici modalità operative e componenti di protezione per complicare in modo significativo l’analisi dei binari che genera. Progettato per rendere inefficaci i moderni framework di analisi binaria e gli strumenti di difesa, l’offuscatore interrompe sia le analisi statiche che quelle dinamiche, operando in tre modalità distinte che gli consentono di adattare le strategie di offuscamento in base ai requisiti specifici dell’attacco. Sempre di probabile matrice cinese, un gruppo tracciato sotto il cluster CL-STA-0048 è stato osservato condurre una campagna presumibilmente volta allo spionaggio e rivolta contro obiettivi di alto profilo in Asia meridionale. L’operazione puntava principalmente a ottenere le informazioni personali dei dipendenti pubblici e a rubare dati sensibili da organizzazioni mirate, quali entità governative e delle telecomunicazioni. Stando a quanto osservato, l’attaccante ha utilizzato tecniche quali il DLL Side-Loading e l’Hex Staging, oltre a tool come PlugX, Cobalt Strike, Stowaway, BadPotato, RasmanPotato, script .sql, una versione rinominata di SoftEther VPN e un downloader sviluppato utilizzando il framework malevolo Winos4.0.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence