L’Italia nel mirino di hacktivisti e ransomware, avversari allineati a Mosca compromettono un’app di messaggistica, le ultime da Pechino

Italia: attacchi DDoS, di defacement e ransomware colpiscono il Paese

Il collettivo hacktivista filorusso NoName057(16) ha rinnovato il suo interesse per l’Italia. In seguito alle dichiarazioni del Presidente della Repubblica Mattarella che, durante una lezione all’Università di Marsiglia, avrebbe tracciato un parallelismo tra Russia e Terzo Reich, l’avversario ha iniziato a condurre attacchi DDoS contro diversi target italiani. Tra questi figurano: Acqua Novara; Acque Veronesi; Intesa Sanpaolo; Siena Mobilità; Gruppo Torinese Trasporti; Aeroporto di Milano Malpensa; Aeroporto di Milano Linate; Porto di Trieste; Sinfomar; Ministero dell’Interno; Ministero delle infrastrutture e dei trasporti; Ministero delle imprese e del made in Italy; Guardia di Finanza; Ministero della Difesa; Aeronautica Militare; Mediobanca; Benelli; Nexi; Fiocchi Munizioni; Franchi; Danieli & C. Officine Meccaniche; Porto di Golfo Aranci; Autorità Portuale del Mare Adriatico centro-settentrionale (Porto di Ravenna); Autorità di Sistema Portuale del Mare Adriatico Settentrionale (Porto di Venezia); Autorità di Sistema Portuale del Mar Ligure Occidentale (Porto di Genova); Autorità di Sistema Portuale del Mar Tirreno Centro Settentrionale (Porti di Civitavecchia – Fiumicino – Gaeta); ATB Bergamo; CTM S.p.A. – Cagliari; UNI – Ente Italiano di Normazione; Parmalat; Marcegaglia; TechnoAlpin; Leonardo; e Alpi Aviation. Ad essi si aggiunge il portale di ResearchItaly, web magazine della ricerca del Ministero dell’Università e della Ricerca italiano, vittima di un DDoS sferrato da DXPLOIT. Quest’ultimo ha reclamato la sua responsabilità anche dietro alcune attività di defacement che hanno colpito i siti web di D.F. Due S.r.l., Aiuto-Hotel.it e Verdiani e Magni TRADIZIONE SALUMI. Da ultimo, un ulteriore gruppo hacktivista filorusso, chiamato Z-PENTEST Alliance, ha rivendicato sul proprio canale Telegram attacchi contro Automobile Club d’Italia e La Termotecnica Commerciale S.r.l. Spostandoci sul versante ransomware, RansomHub Team ha annunciato la compromissione dell’azienda Concessioni Autostradali Lombarde S.p.A. (CAL S.p.A.), mentre Akira Team di COSMED S.r.l. e Kraken di SELT Aerospace & Defence (SELT S.r.l.). Stando a quanto riportato nel DLS, Kraken avrebbe pubblicato una prima parte del leak, dove risulterebbero presenti dati riconducibili a Leonardo S.p.A. – Divisione Elicotteri, Telespazio e Thales Alenia Space Italia.

Ucraina: molteplici avversari allineati a Mosca prendono di mira un’app di messaggistica

Ricercatori di sicurezza hanno osservato crescenti sforzi da parte di diversi avversari allineati al governo di Mosca, volti a compromettere account di una famosa app di messaggistica usati da individui di interesse per i servizi di intelligence russi. La tecnica più innovativa e ampiamente utilizzata alla base dei tentativi di compromissione individuati è l’abuso della funzione legittima “Dispositivi collegati” dell’applicazione di messaggistica istantanea, che consente di usarla su più device contemporaneamente. Poiché il collegamento di un dispositivo aggiuntivo richiede in genere la scansione di un codice QR, gli attaccanti hanno ricorso alla creazione di codici QR malevoli che, una volta scansionati, collegano l’account della vittima a un’istanza dell’app da loro controllata. Se l’operazione ha successo, i messaggi futuri verranno recapitati in modo sincrono sia al target che agli avversari in tempo reale, fornendo un mezzo persistente per intercettare le conversazioni senza la necessità di compromettere l’intero device. In particolare, l’APT Sandworm ha lavorato per consentire alle Forze Armate russe, dispiegate in prima linea, di collegare gli account sui device catturati sul campo di battaglia all’infrastruttura da lui controllata per un successivo sfruttamento. Il gruppo usa uno script batch per Windows inedito, chiamato WAVESIGN, per interrogare periodicamente i messaggi dell’app dal database dell’app stessa di una vittima ed esfiltrare i messaggi più recenti utilizzando Rclone. Inoltre, adopera il malware Infamous Chisel progettato per cercare ricorsivamente un elenco di estensioni di file, incluso il database locale per una serie di applicazioni di messaggistica su dispositivi Android. Oltre a Sandworm, Turla Group è stato visto impiegare uno script PowerShell in scenari di post-compromissione per organizzare l’esfiltrazione dei messaggi dell’app per desktop. Ad essi si aggiunge anche un attaccante russo volto allo spionaggio, monitorato come UNC5792 (sovrapponibile parzialmente al cluster UAC-0195), che ha alterato le legittime pagine di “invito di gruppo”, sostituendo il codice JavaScript che in genere reindirizza l’utente a unirsi a un gruppo con un reindirizzamento a un URL malevolo creato per collegare un device da lui controllato all’account dell’app del target. Infine, UAC-0185 (alias UNC4221) ha preso di mira gli account utilizzati dal personale militare ucraino, usando un kit di phishing appositamente creato, progettato per imitare i componenti dell’applicazione Kropyva (Кропива), adoperata dalle Forze Armate ucraine. Nel dettaglio, come componente centrale del suo attacco, l’avversario ha anche impiegato un payload JavaScript tracciato come PINPOINT per raccogliere informazioni di base sugli utenti e dati di geolocalizzazione adoperando l’API di geolocalizzazione del browser. Al di fuori della Russia, invece, il bielorusso Ghostwriter (UNC1151) è stato osservato usare l’utility di Windows Robocopy per organizzare i contenuti delle directory dei file utilizzate dall’app per desktop al fine di memorizzare messaggi e allegati per una successiva esfiltrazione. Sebbene questo emergente interesse operativo sia stato probabilmente innescato dalle richieste belliche di ottenere l’accesso a comunicazioni governative e militari sensibili nel contesto della reinvasione dell’Ucraina da parte della Russia, si prevede che le tattiche e i metodi utilizzati per colpire questa app di messaggistica cresceranno nel breve termine e si diffonderanno ad altri attaccanti e regioni al di fuori del teatro di guerra ucraino.

Cina: tracciate operazioni riconducibili a GhostEmperor, Mustang Panda e Axiom

Tra dicembre 2024 e gennaio 2025, GhostEmperor (Salt Typhoon) ha tentato di compromettere oltre 1.000 dispositivi di rete Cisco esposti a internet in tutto il mondo, sfruttando le vulnerabilità CVE-2023-20198 e CVE-2023-20273 in IOS XE. Gli attacchi hanno preso di mira principalmente device appartenenti a fornitori di telecomunicazioni, compreso un provider di servizi internet (ISP) italiano. Più della metà dei dispositivi Cisco presi di mira sono localizzati negli Stati Uniti, in Sud America e India; mentre i restanti risultano distribuiti in più di 100 altri Paesi. Sebbene i target identificati siano principalmente associati a fornitori di telecomunicazioni, tredici erano collegati a università in Argentina, Bangladesh, Indonesia, Malesia, Messico, Paesi Bassi, Thailandia, Stati Uniti e Vietnam. Quanto a Mustang Panda, è stata scoperta l’ultima tecnica del cinese che prevede lo sfruttamento dell’utility Microsoft Application Virtualization Injector (MAVInject) e del tool legittimo Setup Factory per iniettare e distribuire payload (tra cui una variante modificata della backdoor TONESHELL), bypassare l’antivirus ESET e mantenere la persistenza nei sistemi compromessi. Infine, è stata documentata una campagna malware denominata RevivalStone, identificata nel marzo 2024 e attribuita ad Axiom, che prende di mira organizzazioni giapponesi nei settori manifatturiero, dei materiali ed energetico, distribuendo una nuova variante del malwareWinnti (Winnti v5.0) noto anche come DEPLOYLOG. La catena d’attacco osservata inizia con lo sfruttamento di una vulnerabilità di tipo SQL Injection presente in un sistema ERP (Enterprise Resource Planning) in esecuzione sul server web del target, consentendo all’avversario di distribuire web shell – tra cui China Chopper, Behinder e sqlmap – e ottenere l’accesso iniziale. Successivamente, l’attaccante adopera le web shell al fine di eseguire attività di ricognizione, raccogliere credenziali per il movimento laterale e veicolare una versione aggiornata di DEPLOYLOG tramite il loader PRIVATELOG, che include il rootkit WINNKIT, per mantenere la persistenza e canali di comunicazione criptati al fine di evitare la detection. Gli analisti hanno rilevato inoltre l’utilizzo del malware UNAPIMON; tuttavia, non sono stati in grado di confermare esattamente come è stato impiegato e veicolato durante l’attacco.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence