Vulnerabilità sfruttate ITW, le ultime dal panorama APT, attacco a X

Vulnerabilità: sfruttate falle che interessano la piattaforma Wazuh, prodotti Apple e Microsoft e la libreria FreeType

Nella settimana appena conclusa è stato rilevato lo sfruttamento attivo ITW di una vulnerabilità critica – sanata a inizio febbraio 2025 – che interessa Wazuh, piattaforma open-source per il rilevamento delle minacce e la risposta agli incidenti. Tracciata con codice CVE-2025-24016, si tratta di una Deserialization of Untrusted Data che consente l’esecuzione di codice remoto sui server Wazuh. Quanto ad Apple, sono stati rilasciati gli aggiornamenti iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2 e visionOS 2.3.2, oltre alla versione 18.3.1 di Safari per correggere una 0-day sfruttata ITW identificata con codice CVE-2025-24201. La falla è una Out-of-bounds Write in WebKit che consente a contenuti web creati in modo malevolo di evadere dalla sandbox Web Content. In particolare, si tratta di una correzione supplementare per un attacco che è stato bloccato in iOS 17.2. La casa di Cupertino ha riferito di essere a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un’operazione sofisticata rivolta contro specifici individui, su versioni di iOS precedenti alla 17.2. Per quanto riguarda Microsoft, come di consueto, è stato rilasciato il Patch Tuesday che questo mese comprende 67 vulnerabilità, tra cui le seguenti 6 0-day: CVE-2025-26633 – Microsoft Management Console Security Feature Bypass, si tratta di una Improper Neutralization che consente a un avversario non autorizzato di aggirare localmente una funzione di sicurezza; CVE-2025-24985 – Windows Fast FAT File System Driver Remote Code Execution, questa falla è una Integer Overflow or Wraparound che permette a un utente malintenzionato di eseguire codice localmente; CVE-2025-24984 – Windows NTFS Information Disclosure, in particolare, l’inserimento di informazioni sensibili nel file di registro in Windows NTFS consente a un avversario non autorizzato di divulgare informazioni con un attacco fisico; CVE-2025-24991 – Windows NTFS Information Disclosure, si tratta di una Out-of-bounds Read che permette a un attaccante autorizzato di divulgare informazioni a livello locale; CVE-2025-24993 – Windows NTFS Remote Code Execution, questa vulnerabilità è una Heap-based Buffer Overflow che consente a un attaccante di eseguire codice localmente; CVE-2025-24983 – Windows Win32 Kernel Subsystem Elevation of Privilege, si tratta di una Use After Free che permette a un utente malintenzionato autorizzato di elevare i privilegi a livello locale, ottenendo potenzialmente privilegi SYSTEM. Un exploit 0-day che abusa di CVE-2025-24983 è stato visto per la prima volta ITW nel marzo 2023 ed è stato distribuito sulle macchine compromesse attraverso una backdoor chiamata PipeMagic. Da ultimo, è stato rilevato lo sfruttamento attivo di una falla di tipo Out-of-bounds Write, individuata come CVE-2025-27363, che interessa la libreria di rendering dei font FreeType e può comportare l’esecuzione arbitraria di codice.

APT: novità riguardanti Lazarus Group, ScarCruft, Sidewinder e APT-C-36

Ricercatori di sicurezza hanno recentemente identificato il nordcoreano Lazarus Group attaccare server web sudcoreani per installare uno script C2, web shell, un downloader chiamato LazarLoader e un tool di escalation dei privilegi. Restando in Corea del Nord, è stato scoperto uno spyware per Android inedito soprannominato KoSpy, attribuito con un livello di confidenza medio a ScarCruft, che sembra prendere di mira utenti di lingua coreana e inglese mascherandosi da applicazioni di utilità. Spostandoci in India, nel secondo quadrimestre del 2024, il gruppo state-sponsored Sidewinder è stato osservato: aggiornare il proprio toolset, con malware soprannominati Backdoor Loader e StealerBot; ampliare il suo targeting, soprattutto in Africa e nel Sudest asiatico, ma anche in Europa, Medio Oriente e in tutta l’Asia; e creare una nuova massiccia infrastruttura per diffondere malware e controllare i sistemi compromessi. Infine, soffermandoci in Sud America, alcune indagini hanno portato alla luce una serie di campagne in corso attribuite al sudamericano APT-C-36 (Blind Eagle), che dal novembre 2024 prendono di mira istituzioni giudiziarie colombiane e altre organizzazioni governative o private, registrando alti tassi di infezione (oltre 1.600 in una sola operazione). Le attività hanno previsto l’invio di file .url malevoli, che causano un effetto simile all’exploit della vulnerabilità CVE-2024-43451 (corretta da Microsoft il 12 novembre 2024), oltre allo sfruttamento di piattaforme cloud legittime come Google Drive, Dropbox, GitHub e Bitbucket. Tra i malware adoperati figurano un Packer-as-a-Service denominato HeartCrypt, una variante di PureCrypter e il RAT Remcos.

X: rivendicato un attacco al social media di Elon Musk

Il 10 marzo 2025, la piattaforma X (Twitter) ha subito una serie di interruzioni a livello globale, impedendo a migliaia di utenti di accedere ai propri account. Le problematiche sono iniziate nelle prime ore del mattino e si sono protratte per l’intera giornata, con picchi di segnalazioni registrati intorno alle ore 10:40 e 15:00 (orario CET). Elon Musk ha confermato che le interruzioni sono state causate da un attacco informatico su larga scala. Secondo il magnate tecnologico, sebbene il social subisca offensive quotidianamente, quest’ultima è stata particolarmente significativa per le risorse coinvolte, suggerendo che dietro l’azione ci fosse un grande gruppo coordinato e/o un’entità statale. Un avversario noto come Dark Storm Team ha rivendicato l’operazione attraverso un post su Telegram. Nel dettaglio, si tratta di un collettivo hacktivista filo-palestinese fondato nel 2023, attivo presumibilmente dal settembre 2023 e con possibili legami con la Russia, che colpisce soprattutto realtà legate a Israele e Paesi NATO. Il gruppo è principalmente noto per offensive di tipo DDoS apparentemente motivate da ideologie politiche e umanitarie, distinguendosi per la sua agenda pro-palestinese, ma offre anche servizi a pagamento di DDoS for Hire e Database Leak. In risposta all’accaduto, X ha implementatomisure di protezione DDoS, collaborando con Cloudflare per mitigare ulteriori interruzioni. Questo ha comportato l’introduzione di CAPTCHA per gli utenti provenienti da indirizzi IP sospetti o che generavano un numero eccessivo di richieste.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence