Le ultime dall’Italia, attività inedite riconducibili a Sandworm, 0-day di Microsoft, Trimble, Apple e PostgreSQL

Italia: nuovi target vittime di attacchi spyware e ransomware 

David Yambio, attivista sudanese per i diritti umani residente in Italia, presidente e cofondatore di Refugees in Libya, ha rivelato di aver ricevuto una notifica da Apple il 13 novembre 2024, nella quale gli veniva riferito che il suo iPhone era stato preso di mira in un attacco basato su uno spyware “mercenario”. La rivelazione arriva nel mezzo del caso sul presunto utilizzo da parte dell’Italia dello spyware Graphite dell’israeliana Paragon Solutions. Si segnala inoltre che il difensore per i diritti umani risulta essere coinvolto nella controversa vicenda della liberazione del generale libico Osama Elmasry Njeem, che nelle ultime settimane ha scosso la politica italiana, in quanto è una delle vittime dei crimini commessi da quest’ultimo. Spostandoci in ambito ransomware, Fog Team ha rivendicato sul proprio sito dei leak la compromissione dell’Istituto Nazionale di Geofisica e Vulcanologia (INGV); Sarcoma Group di IBG S.p.A. Società Benefit; e l’inedito ThreeAM di Leonardo S.p.A. Tuttavia, quest’ultima è stata smentita dalla società stessa. Da una prima analisi del leak, infatti, la realtà violata sembrerebbe essere ROTORSIM, joint venture tra Leonardo e CAE, con sedi in Italia (Sesto Calende) e negli Stati Uniti (Philadelphia), che fornisce prodotti e servizi di addestramento sintetico per operatori civili, militari e parastatali e gestisce diversi simulatori Full Flight (FFS) costruiti da Leonardo e CAE. Stando a quanto riportato nel blog, l’avversario avrebbe pubblicato circa 13 MB di dati, l’1% dei record complessivi apparentemente in suo possesso.

Sandworm: descritte una campagna contro utenti Windows ucraini e l’operazione BadPilot 

Ricercatori di sicurezza hanno scoperto una campagna di spionaggio del russo Sandworm, probabilmente in corso dalla fine del 2023, rivolta contro utenti Windows ucraini. L’operazione sfrutta attivatori Microsoft Key Management Service (KMS) trojanizzati per fornire una nuova versione del loader basato su GO BACKORDER che porta alla distribuzione di Dark Crystal RAT, consentendo l’esfiltrazione di dati sensibili e l’attività di spionaggio. Oltre a ciò, è stato documentato anche l’uso di falsi aggiornamenti Windows per veicolare una backdoor RDP inedita che adopera Tor per il C2, soprannominata Kalambur. In aggiunta, è stata individuata una campagna pluriennale di accesso globale, denominata BadPilot, attribuita a un sottogruppo dell’APT di Mosca, specializzato in attività di accesso iniziale. Nel dettaglio, tale operazione ha permesso all’avversario di ottenere l’accesso nelle reti di obiettivi internazionali in settori sensibili – tra cui quello energetico, Oil & Gas, delle telecomunicazioni, della logistica, della produzione di armi e governativo – sfruttando vulnerabilità di infrastrutture esposte a internet. Sono stati identificati almeno tre distinti modelli di exploitation e comportamenti operativi legati a questo sottogruppo. Il primo riguarda la distribuzione di strumenti RMM, quali ad esempio Atera Agent e Splashtop Remote Services, per la persistenza e il C2. Il secondo, dopo un exploit riuscito, ha adoperato per lo più web shell (come LocalOlive) al fine di mantenere i punti di appoggio e ottenere la capacità di eseguire i comandi necessari per dispiegare tool secondari e assistere il movimento laterale. Infine, il terzo riguarda la modifica dell’infrastruttura per espandere l’influenza sulla rete attraverso la raccolta di credenziali. Questo include modifiche malevole alle risorse di rete, comprese le pagine di accesso a Outlook Web Access (OWA) e le configurazioni DNS.

Vulnerabilità: sfruttate ITW falle di Microsoft, Trimble, Apple e PostgreSQL 

Tra il 6 e il 7 febbraio 2025, dopo aver riscontrato evidenze di uno sfruttamento attivo, la CISA ha aggiunto al suo catalogo delle vulnerabilità sfruttate ITW CVE-2024-21413 di Microsoft Outlook, oltre a CVE-2025-0994 di Trimble Cityworks. La prima, corretta nel febbraio 2024, è una Improper Input Validation che consente l’esecuzione di codice in modalità remota, permettendo a un attaccante di bypassare la visualizzazione protetta di Office e di aprirla in modalità di modifica, anziché in quella protetta. La seconda, invece, è una Deserialization of Untrusted Data che potrebbe consentire a un utente autenticato di effettuare un attacco di esecuzione di codice remoto contro il server web Microsoft Internet Information Services (IIS) di un cliente. In aggiunta, come di consueto lo scorso martedì l’azienda di Redmond ha rilasciato il Patch Tuesday di febbraio 2025 nel quale ha corretto due 0-day: CVE-2025-21391, una Link Following che permette a un avversario di eliminare file mirati di un sistema; e CVE-2025-21418, una Heap-based Buffer Overflow che consente a un attaccante di ottenere privilegi SYSTEM. Quanto ad Apple, è stato corretto un problema di autorizzazione tracciato con codice CVE-2025-24200, che potrebbe permettere a coloro che hanno un accesso fisico di disattivare la modalità USB Restricted su un dispositivo bloccato. La casa di Cupertino ha riferito di essere a conoscenza di una segnalazione secondo cui questa falla potrebbe essere stata sfruttata in un’offensiva estremamente sofisticata rivolta contro persone specifiche. Da ultimo, PostgreSQL ha sanato una vulnerabilità identificata come CVE-2025-1094, che risulta essere stata sfruttata insieme alla CVE-2024-12356 di BeyondTrust. In particolare, si tratta di una Improper Neutralization of Quoting Syntax classificata come SQL Injection nel codebase di PostgreSQL (incluso come componente nell’appliance BeyondTrust). Durante alcune ricerche sulle recenti attività di exploitation di CVE-2024-12356, un ricercatore di sicurezza ha scoperto che in ogni scenario testato, un exploit riuscito per la falla doveva includere lo sfruttamento di CVE-2025-1094 per ottenere l’esecuzione di codice in modalità remota.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence