Cybercrime in Italia, la Corea del Nord mira al mercato del lavoro IT, attacchi ITW sfruttano prodotti Ivanti

Cybercrime: truffe e ransomware in Italia

È stata segnalata una nuova truffa telefonica via WhatsApp, che sfrutta un messaggio dal testo: “Ciao! Per favore votate… è la figlia della mia amica, il premio principale è una borsa di studio”. Quest’ultimo viene inviato da un contatto conosciuto al destinatario e contiene un link per partecipare al presunto concorso. Tuttavia, dando seguito al collegamento, il malcapitato viene indirizzato a una pagina dove gli viene richiesto di effettuare il login e, in seguito, di copiare un codice di autenticazione inviato via SMS. A questo punto i dati inseriti vengono sottratti e, in pochi istanti, lo stesso link viene inoltrato in automatico a tutti i contatti della rubrica. Tale strategia permette ai criminali informatici di impadronirsi dell’account WhatsApp, rubarne l’identità per commettere altre truffe e accedere ai contatti presenti in rubrica. Oltre a ciò, stando a quanto riportato da diversi quotidiani locali, i sistemi di bigliettazione elettronica di Mobilità di Marca (MOM) S.p.A., azienda unica di trasporto pubblico su gomma della provincia di Treviso, sono stati paralizzati per alcuni giorni a causa di un attacco informatico ai server della società con sede a Senigallia (AN) Plus Service S.r.l., specializzata nello sviluppo di sistemi ERP e soluzioni integrate per le aziende di trasporto pubblico e privato. Nel dettaglio, Plus Service gestisce la piattaforma Telemaco, ovvero il sistema telematico della bigliettazione per numerose compagnie di trasporto pubblico, inclusa la MOM di Treviso. In seguito all’accaduto, per due giorni non è stato possibile acquistare titoli di viaggio dall’app o, in generale, per via telematica. Il presidente della società trevigiana, Giacomo Colladon, ha riferito a fonti giornalistiche che il servizio ha ripreso a funzionare martedì 1° aprile, non senza interruzioni, almeno fino a sera. Infine, operatori ransomware hanno rivendicato la compromissione di diverse società italiane. Akira Team ha reclamato sul proprio sito dei leak la violazione di Grandi Molini Italiani S.p.A. e di Prima Power; Sarcoma Group di Geass S.r.l.; e NightSpire di Omci S.p.A.

Corea del Nord: nuove offensive a tema lavoro

È stata tracciata un’operazione soprannominata ClickFake Interview, attribuita al nordcoreano Lazarus Group, che prende di mira persone in cerca di lavoro con falsi siti web. Gli analisti valutano con elevata sicurezza che tale attività sia in continuità con la campagna Contagious Interview in corso almeno dal dicembre 2022. Tutto inizia con l’invio sui social media di un link, che invita i target a partecipare a una falsa job interview a tema criptovalute su un portale web. Una volta approdati sulla pagina malevola, gli utenti vengono guidati attraverso un processo di intervista che prevede diverse fasi. In un preciso momento del processo, una pagina richiede l’accesso alla fotocamera. A questo punto, compare un messaggio d’errore che spinge il malcapitato a eseguire un comando (diverso per Windows e macOS) per “aggiornare i driver”, attivando così la tecnica ClickFix. A seconda del sistema operativo, dedotto dallo User-Agent del browser, viene presentato un avviso con i comandi da copiare, incollare ed eseguire sul proprio sistema. Queste istruzioni mirano a lanciare curl per scaricare ed eseguire uno script bash malevolo per gli utenti macOS o a scaricare un archivio ZIP per quelli Windows, estrarne il contenuto e lanciare uno script VBS. Entrambi i diversi approcci portano all’installazione di un implant Go sull’host compromesso denominato GolangGhost. In aggiunta, sempre dalla Corea del Nord, ricercatori di sicurezza hanno osservato un’espansione delle operazioni dei falsi lavoratori IT nordcoreani che mirano a posti di lavoro in aziende occidentali, con un incremento delle attività in Europa. Alla fine del 2024, un lavoratore informatico della RPDC ha gestito almeno 12 identità in Europa e negli Stati Uniti, cercando attivamente un impiego presso diverse organizzazioni europee, in particolare nei settori della Difesa e governativo. L’avversario ha dimostrato di fornire referenze falsificate, di instaurare un rapporto con i reclutatori di lavoro e di utilizzare altri personaggi da lui controllati per garantire la propria credibilità. Separatamente, ulteriori indagini hanno portato alla luce altre figure IT in cerca di impiego in Germania e Portogallo. Gli analisti hanno inoltre osservato un portafoglio diversificato di progetti nel Regno Unito intrapresi dai presunti lavoratori della RPDC. Questi includono lo sviluppo web, di bot, di CMS e tecnologia blockchain, indicando un’ampia gamma di competenze tecniche, che vanno da quelle tradizionali all’applicazione avanzata di blockchain e AI. Nel tentativo di assicurarsi queste posizioni, i malfattori hanno utilizzato tattiche ingannevoli, dichiarando falsamente la nazionalità di diversi Paesi, tra cui Italia, Giappone, Malesia, Singapore, Ucraina, Stati Uniti e Vietnam. Le identità utilizzate erano una combinazione di personaggi reali e inventati. I lavoratori informatici in Europa sono stati reclutati attraverso varie piattaforme online, tra cui Upwork, Telegram e Freelancer. Il pagamento dei loro servizi è stato facilitato attraverso criptovalute, il servizio TransferWise e Payoneer, evidenziando l’uso di metodi che offuscano l’origine e la destinazione dei fondi.

ITW: vulnerabilità Ivanti sotto attacco

Ivanti ha rilasciato aggiornamenti di sicurezza per correggere una vulnerabilità critica, sfruttata dal gruppo cinese UNC5221 per distribuire malware almeno dalla metà del marzo 2025. Tracciata con codice CVE-2025-22457, la falla è una Stack-based Buffer Overflow che permette a un attaccante remoto non autenticato di ottenere l’esecuzione di codice, e impatta Ivanti Connect Secure (versione 22.7R2.5 e precedenti), Pulse Connect Secure 9.x (fine del supporto a partire dal 31 dicembre 2024), Ivanti Policy Secure e i gateway ZTA. La vulnerabilità era stata completamente corretta in Ivanti Connect Secure 22.7R2.6 (rilasciato l’11 febbraio 2025) ed è stata inizialmente identificata come un bug del prodotto. Successivamente, il vendor ha annunciato di essere a conoscenza di un numero limitato di clienti i cui prodotti, Ivanti Connect Secure (22.7R2.5 o precedente) e Pulse Connect Secure 9.1x, sono stati sfruttati al momento della divulgazione. Mentre le patch di sicurezza per i gateway ZTA e Ivanti Policy Secure sono ancora in fase di sviluppo e saranno rilasciate rispettivamente il 19 e il 21 aprile, Ivanti ha dichiarato di non essere a conoscenza di alcuno sfruttamento che abbia come obiettivo questi gateway. In seguito a un’analisi nell’ambito delle attività malevole, è stata osservata l’implementazione di due malware identificati come TRAILBLAZE e BRUSHFIRE attraverso uno shell script dropper. Inoltre, è stata anche tracciata la distribuzione dell’ecosistema di malware SPAWN. In modo simile a comportamenti analizzati in precedenza, l’attaccante ha tentato di modificare l’Integrity Checker Tool (ICT) nel tentativo di eludere il rilevamento. Sempre in merito a Ivanti, la CISA ha rilasciato un advisory su un nuovo malware chiamato RESURGE, distribuito come parte di un’attività di sfruttamento mirata alla vulnerabilità CVE-2025-0282, ora patchata, in Ivanti Connect Secure (ICS) con target un’infrastruttura critica statunitense non specificata. La minaccia possiede le funzionalità di un malware denominato SPAWNCHIMERA. Tuttavia, RESURGE integra ulteriori comandi distintivi che ne estendono il campo di azione.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence