Le ultime dall’Italia, novità nel panorama APT, sfruttate ITW diverse vulnerabilità

Phishing e ransomware in Italia, notificati data breach, nuovi attacchi spyware

 Vedi tutte
Threat Intelligence, News

Compromissione di Collins Aerospace, operazioni APT russe congiunte mirano all’Ucraina, 0-day di Cisco sfruttate ITW 

Breach: colpiti i sistemi software di aeroporti europei 

I sistemi di check-in forniti da Collins Aerospace, di proprietà di RTX, sono stati colpiti da un attacco informatico che ha portato all’interruzione del sistema software Muse, costringendo numerose compagnie aeree a ricorrere a procedure manuali. L’intrusione ha compromesso i sistemi automatizzati di check-in, imbarco e consegna bagagli in scali come Bruxelles, Londra Heathrow, Berlino, Dublino e Cork, causando ritardi, cancellazioni e lunghe code. L’Agenzia dell’Unione europea per la cibersicurezza (ENISA) ha poi confermato trattasi di un attacco ransomware, che, secondo quanto riportato da alcuni ricercatori, si presume essere opera di HardBit. Quest’ultimo non sembra avere siti dei leak e quindi non ricorre ai tipici metodi di doppia estorsione; generalmente agisce con l’obiettivo di rubare e crittografare i dati delle vittime; richiedere il pagamento di un riscatto; e minacciare di condurre ulteriori attacchi contro il target se la richiesta di riscatto non viene soddisfatta. Tra i tool impiegati dall’avversario figurano: Mimikatz, NLBrute, KPortScan 3.0 e 5-NS new.exe. Il ransomware viene distribuito tramite Neshta, un virus noto per essere attivo dal 2003. Al momento, l’indagine sull’incidente si trova ancora alle fasi iniziali e rimane in corso; sebbene il 24 settembre 2025 la National Crime Agency (NCA) del Regno Unito abbia dichiarato di aver arrestato nel West Sussex un uomo con l’accusa di violazioni del Computer Misuse Act, egli è stato poi rilasciato su cauzione condizionale.

Ucraina: rilevata possibile collaborazione di Turla Group e Gamaredon Group 

L’Ucraina torna nel mirino di due gruppi affiliati all’FSB russo che – in quella che sembra essere un’operazione congiunta – hanno lanciato diversi attacchi informatici con l’obiettivo di compromettere target di alto profilo. Gamaredon Group e Turla Group hanno infatti cooperato per infiltrarsi su molteplici macchine in Ucraina, infettando centinaia se non migliaia di computer: il primo APT distribuendo un’ampia gamma di tool tra cui PteroLNK, PteroStew, PteroOdd, PteroPaste, PteroEffigy e PteroGraphin; mentre il secondo avversario sembra diffondere Kazuar (V2 e V3) solamente su macchine specifiche, probabilmente quelle contenenti informazioni altamente sensibili. A conferma dell’effettiva collaborazione tra i due gruppi, nel corso dell’analisi di questa operazione è stato osservato come Turla Group fosse in grado di impartire comandi tramite gli implant di Gamaredon Group. Difatti, PteroGraphin è stato utilizzato da Turla Group come metodo di ripristino per riavviare la propria backdoor KazuarV3, presumibilmente dopo che quest’ultima si era bloccata o non avviata automaticamente. In aggiunta, si è notato come sia Gamaredon Group a fornire il primo accesso sulle macchine a Turla Group; tuttavia, il vettore d’infezione iniziale esatto non è ancora chiaro, ma gli analisti presumono l’uso di spear phishing e file LNK malevoli su unità rimovibili, metodi per cui Gamaredon Group è noto.

Cisco: notificate molteplici 0-day sfruttate ITW 

In questi giorni Cisco ha rilasciato bollettini di sicurezza per alcune vulnerabilità, notificando molteplici 0-day attivamente sfruttate ITW. La prima, tracciata con codice CVE-2025-20352, è una Stack-based Buffer Overflow nel sottosistema Simple Network Management Protocol (SNMP) dei software Cisco IOS e IOS XE che potrebbe consentire di causare una condizione di Denial of Service (DoS) su un dispositivo interessato o di eseguire codice remoto. L’attività di sfruttamento ITW di questo problema è stata rilevata dopo che le credenziali di un amministratore locale sono state compromesse. In aggiunta, il Cisco Product Security Incident Response Team (PSIRT) ha poi informato dello sfruttamento ITW di CVE-2025-20333, che consente all’utente malintenzionato di eseguire codice arbitrario come root, con la possibile compromissione completa del dispositivo interessato; e di CVE-2025-20362 che permette di accedere a un URL con restrizioni senza autenticazione. Le suddette vulnerabilità sono state identificate dal National Cyber Security Centre (NCSC) britannico come adoperate da attaccanti che colpiscono i firewall Cisco per diffondere famiglie di malware precedentemente non documentate, denominate RayInitiator e LINE VIPER. Il primo è un bootkit multistadio persistente installato nel Grand Unified Bootloader (GRUB) dei Cisco ASA 5500-X privi di secure boot. Questa tecnica garantisce sopravvivenza ai riavvii e agli aggiornamenti firmware e consente il caricamento di LINE VIPER, un loader user-mode, sviluppato per iniettare moduli malevoli tramite due metodi, ovvero richieste di autenticazione WebVPN su HTTPS e pacchetti ICMP con risposte su TCP raw. L’attività ha preso di mira dispositivi Cisco Adaptive Security Appliance (ASA) serie 5500-X che eseguivano il software Cisco Secure Firewall ASA con servizi Web VPN abilitati allo scopo di installare malware, eseguire comandi e potenzialmente esfiltrare dati dai dispositivi compromessi.  

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center, ora parte dell’area Threat Intelligence & Response di Telsy

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence