Offensive in Italia, nuove accuse contro la Cina, notificate 0-day

Italia: attacchi DDoS e ransomware colpiscono la penisola 

Tra l’1 e il 2 marzo 2024, gruppi hacktivisti filorussi hanno continuato a sferrare attacchi DDoS contro il Bel Paese. Il collettivo Mysterious Team Bangladesh ha rivendicato offensive contro i portali di: Yacht Club Сagliari (Admiral Yacht Club); Autorità di Sistema Portuale del Mar Tirreno Centro Settentrionale (Porto di Civitavecchia); Porto[.]messina[.]it di proprietà di DMM COMPANY S.r.l.; Autorità di Sistema Portuale del Mare di Sicilia Occidentale (Porto di Palermo); Autorità di Sistema Portuale del Mare Adriatico Settentrionale (Porto di Venezia). Il gruppo Mr Hamza ha, invece, rivolto la sua attenzione contro siti governativi e militari italiani: Ministero della Difesa; Ministero degli Affari Esteri e della Cooperazione Internazionale; Arma dei Carabinieri; Sistema di informazione per la sicurezza della Repubblica; Guardia di Finanza; Aeronautica Militare; Esercito Italiano; e Marina Militare. Infine, a partecipare alle attività è stato anche NoName057(16), il quale ha bersagliato molteplici target, tra questi: Regione Autonoma Valle d’Aosta; Regione Piemonte; Comune di Portoferraio; Comune di Roma; Regione Lazio; Comune di Milano; Aeroporto di Bergamo-Orio al Serio; Provincia di Trapani; Enna Magazine; Regione Puglia; Comune di Catania; Comune di Adrano; Comune di Verona; Consiglio Regionale della Valle d’Aosta; Regione Abruzzo; Regione Basilicata; Comune di Potenza; Regione Molise; Comune di Allein; Comune di Aymavilles; Comune di Reggio Emilia; Regione Autonoma Friuli Venezia Giulia; Comune di Brescia; Regione Lombardia; Comune di Parma; Comune di Perugia; Regione Umbria; Comune di Rimini. Tutti gli avversari sopracitati hanno condotto le offensive nell’ambito di un’operazione chiamata Hack for Humanity, contrassegnata dall’omonimo hashtag. Passando al panorama ransomware, nuovi attacchi sono stati rivendicati nei confronti di diverse società. Fog Team ha notificato sul proprio sito dei leak la compromissione di BizCoDe S.r.l. e Engicam S.r.l.; LockBit Team di CO.GE.S.I. S.r.l.; Akira Team di Fantin S.r.l. e +adrenalina; e un nuovo gruppo denominato Weyhro di F.lli Fragola S.p.A.

Cina: accuse del DOJ e nuove tattiche APT 

Il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha accusato funzionari di sicurezza statale cinese insieme al gruppo state-sponsored Emissary Panda e la società i-Soon di attacchi informatici a livello globale. L’elenco delle vittime comprende agenzie governative federali e statali statunitensi (tra cui il Dipartimento del Tesoro degli USA alla fine del 2024), ministeri degli esteri di diversi governi asiatici, media, dissidenti e un’importante organizzazione religiosa negli Stati Uniti. Gli imputati, che agiscono come liberi professionisti o come dipendenti di i-Soon, hanno condotto intrusioni informatiche di propria iniziativa e altre sotto la direzione dell’MPS e del Ministero della Sicurezza di Stato (MSS) della RPC. In particolare, i documenti del tribunale rivelano che l’MPS e l’MSS hanno impiegato una rete di società private e appaltatori in Cina per infiltrarsi indiscriminatamente nelle aziende e rubare dati, nascondendo al contempo il coinvolgimento del governo. Inoltre, è stato osservato un cambiamento nelle TTP dell’APT cinese Hafnium, che ora prende di mira soluzioni IT comuni come tool di gestione remota e applicazioni cloud in attacchi supply chain. L’avversario sfrutta applicazioni non patchate che gli consentono di elevare il proprio accesso nelle organizzazioni prese di mira e condurre ulteriori attività malevole. Dopo aver compromesso con successo una vittima, il gruppo utilizza le chiavi e le credenziali rubate per infiltrarsi nelle reti dei clienti, dove può abusare di una serie di applicazioni distribuite, compresi servizi Microsoft e altri, per raggiungere i propri obiettivi di spionaggio. In particolare, Hafnium è stato osservato mentre abusava di chiavi API e credenziali rubate associate a società di Privilege Access Management (PAM), fornitori di app cloud e aziende di gestione dei dati nel cloud, che gli hanno consentito di accedere agli ambienti dei clienti a valle del vendor. Infine, sono state individuate diverse campagne di spionaggio attribuibili al cinese Lotus Blossom, che mirano a società dei settori governativo, manifatturiero, delle telecomunicazioni e dei media nelle Filippine, in Vietnam, a Hong Kong e Taiwan, fornendo la backdoor custom Sagerunex e altri strumenti di hacking per attività di post-compromissione.

 0-day: notificate vulnerabilità Android, VMware e Paragon 

Google ha pubblicato il bollettino di marzo per Android che sana CVE-2024-50302. Classificata come Information Disclosure, la falla è una Privilege Escalation nel componente HID USB del kernel Linux che potrebbe consentire a un attaccante locale di ottenere l’accesso a dati sensibili, causando una fuga di memoria del kernel. Tale vulnerabilità fa parte di una sofisticata catena di exploit 0-day che prende di mira driver USB Android, sviluppata dalla società israeliana Cellebrite e utilizzata per compromettere il telefono di un attivista serbo nel dicembre 2024. Tra le falle presenti nella catena figurano CVE-2024-53197, che impatta il driver audio USB ALSA, e CVE-2024-53104, una Out-of-bounds Write nel driver USB Video Class (UVC). Dal canto suo, VMware ha rilasciato l’advisory VMSA-2025-0004 che notifica tre vulnerabilità 0-day sfruttate ITW: CVE-2025-22224 (CVSS 9.3) di tipo Time-of-Check Time-of-Use (TOCTOU) in VMware ESXi e Workstation; CVE-2025-22225 (CVSS 8.2) che impatta VMware ESXi e consente a un attaccante con privilegi all’interno del processo VMX di attivare una scrittura arbitraria del kernel e uscire dalla sandbox; e CVE-2025-22226 (CVSS 7.1), un problema di Information Disclosure dovuto a una Out-of-bounds Read in HGFS. Infine, sono state scoperte cinque falle nel driver Paragon Partition Manager BioNTdrv.sys, una delle quali è stata utilizzata da operatori ransomware in attacchi 0-day per ottenere privilegi SYSTEM in Windows. Tracciata con codice CVE-2025-0289, la vulnerabilità è una Insecure Kernel Resource Access causata dall’assenza di validazione del puntatore MappedSystemVa prima di passarlo a HalReturnToFirmware.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence