0-day Fortinet e Microsoft, l’Italia nel mirino di nuove offensive, le ultime dalla Cina

Vulnerabilità: sfruttate ITW falle di Fortinet e Microsoft

In data 14 gennaio 2025, dopo aver riscontrato evidenze di uno sfruttamento attivo, la CISA ha aggiunto al suo catalogo delle vulnerabilità sfruttate ITW CVE-2024-55591 di Fortinet, oltre a CVE-2025-21333, CVE-2025-21334 e CVE-2025-21335 di Microsoft. La prima, alla quale è stato assegnato un codice CVSS pari a 9.6, interessa FortiOS e FortiProxy, è di tipo Authentication Bypass Using an Alternate Path or Channel e può consentire a un avversario remoto di ottenere privilegi di super admin tramite richieste al modulo websocket Node.js appositamente realizzate. Nelle attività di exploitation osservate, l’attaccante è stato in grado di condurre le seguenti operazioni: creare un account amministratore e un account utente locale sul dispositivo con username casuali; generare un gruppo di utenti o aggiungere l’utente locale appena creato a un gruppo di utenti SSL VPN esistente; aggiungere o modificare altre impostazioni; e accedere a SSL VPN con l’utente locale aggiunto sopra per ottenere un tunnel verso la rete interna. Si presume possa trattarsi della stessa vulnerabilità sfruttata in una campagna recentemente documentata rivolta contro firewall FortiGate con interfacce di gestione esposte su internet, probabilmente iniziata a metà novembre 2024 e di natura opportunistica. Le Agenzie dello US Federal Civilian Executive Branch (FCEB) sono state incaricate di correggere il problema di sicurezza entro il 21 gennaio 2025. Quanto a Microsoft, le tre 0-day identificate risiedono nel servizio di integrazione del kernel NT (VSP) di Windows Hyper-V, hanno un codice CVSS pari a 7.8, e sono rispettivamente di tipo Heap-based Buffer Overflow (CVE-2025-21333) e Use After Free (CVE-2025-21334 e CVE-2025-21335).  Nel dettaglio, un utente autenticato potrebbe sfruttare le falle per eseguire codice con privilegi SYSTEM. In questo caso, è stato richiesto alle Agenzie dello US FCEB di correggere i problemi di sicurezza entro il 4 febbraio 2025.

Italia: rivendicati attacchi DDoS e ransomware

A seguito della conferma del Presidente del Consiglio Giorgia Meloni circa la continuità del sostegno all’Ucraina, in occasione dell’incontro con Zelensky durante la sua visita a Roma, il collettivo hacktivista filorusso NoName057(16) ha sferrato attacchi DDoS contro 14 target italiani. Tra i portali presi di mira figurano quelli del Ministero delle Infrastrutture e dei Trasporti, del Ministero dello Sviluppo Economico, del Ministero della Difesa, dell’Aeronautica Militare, dell’Arma dei Carabinieri, della Marina Militare, di Siena Mobilità, di GTT – Gruppo Torinese Trasporti, di Acquanovara VCO, di RelaxBanking, di Intesa Sanpaolo, del Porto di Trieste, di Sinfomar e di Vulcanair. Spostandoci in campo ransomware, diversi operatori hanno colpito realtà del nostro Paese. In particolare, Hunters International Team ha rivendicato sul proprio sito dei leak la compromissione di COROB S.p.A., azienda leader tecnologico globale che fornisce soluzioni di colorazione in diversi settori; Lynx Team di Conad, società cooperativa attiva nella grande distribuzione organizzata; Sarcoma Group di Boart & Wire S.r.l., entità specializzata nella produzione e commercializzazione di fili, dischi e lame diamantate; RansomHub Team di BSE Group S.r.l., azienda specializzata nei sistemi speciali di sicurezza; Everest Team di Volt Infrastructure, società impegnata nello sviluppo di una pipeline di progetti fotovoltaici (PV) e di sistemi di accumulo di energia a batteria (BESS) in tutta Italia e nel Regno Unito; mentre l’inedito MORPHEUS Team di Lynx S.p.A., gruppo specializzato nella progettazione e realizzazione di soluzioni digitali, a supporto di grandi realtà operanti nel settore utilities, finance, insurance e PA.

Cina: operazioni riconducibili a Stone Panda e Mustang Panda

La National Police Agency (NPA) e il National Center of Incident Readiness and Strategy for Cybersecurity (NCSC) del Giappone hanno accusato il gruppo state-sponsored cinese Stone Panda di aver orchestrato una campagna pluriennale di attacchi informatici contro organizzazioni, aziende e individui nel Paese dal 2019. L’obiettivo primario dell’operazione è rubare informazioni relative alla sicurezza e alla tecnologia. Secondo le Agenzie, le offensive sono classificabili in tre campagne principali denominate A, B e C, le quali nel complesso hanno previsto la distribuzione di malware come LODEINFO, NOOPDOOR, LilimRAT (una versione custom di Lilith RAT), Cobalt Strike e ANEL. Tra le vittime identificate figurano individui e organizzazioni legati ai settori governativo, politico, dei media, dei semiconduttori, manifatturiero, delle comunicazioni, accademico e aerospaziale, oltre a think tank. Parlando sempre di un APT di Pechino, tra luglio 2023 e dicembre 2024 Mustang Panda ha condotto nuovi attacchi rivolti contro Mongolia, Taiwan, Myanmar, Vietnam e Cambogia, usando una catena di infezione volta a distribuire la sua backdoor custom PlugX. Si ritiene che l’avversario abbia compromesso il Ministero della Difesa della Mongolia nell’agosto 2024 e il Partito Comunista del Vietnam nel novembre dello stesso anno. Si ipotizzano inoltre possibili vittime in Malesia, Giappone, Stati Uniti, Etiopia, Brasile, Australia e India colpite da settembre a dicembre 2024. Restando focalizzati su PlugX e Mustang Panda, il 14 gennaio 2025 il procuratore degli Stati Uniti Jacqueline C. Romero, il Dipartimento di Giustizia americano (DOJ) e l’FBI hanno annunciato un’operazione di Polizia durata diversi mesi che, insieme a partner internazionali, ha previsto l’eliminazione del malware da migliaia di computer in tutto il mondo. Secondo quanto riportato, l’attaccante ha utilizzato una specifica versione di PlugX, da lui sviluppata su commissione del governo di Pechino, per infettare, controllare e rubare informazioni dalle macchine target. Tale variante ha una componente wormable che ne ha consentito la diffusione attraverso dispositivi USB e contiene un indirizzo IP C2 hardcoded.  La campagna, iniziata almeno dal 2014, ha permesso l’infiltrazione dell’APT in migliaia di sistemi informatici con campagne che hanno colpito vittime statunitensi, governi e aziende europee e asiatiche e gruppi di dissidenti cinesi. Nell’agosto 2024, il DOJ e l’FBI hanno ottenuto il primo di nove mandati che hanno autorizzato l’eliminazione del malware dai computer basati su Windows con sede negli Stati Uniti. Quest’ultima è stata possibile grazie a una funzionalità nativa della variante in analisi comprendente un comando di auto-cancellazione proveniente dal C2 sopracitato. In totale, l’implant è stato eliminato da circa 4.258 computer e reti statunitensi. L’attività fa parte di un più ampio sforzo di rimozione globale iniziato a fine luglio 2024, condotto dalle Forze dell’Ordine francesi e da una società privata di sicurezza informatica con sede a Rennes, la quale aveva identificato e notificato la possibilità di inviare comandi per cancellare PlugX dai dispositivi infetti.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence