Sorveglianza e controspionaggio in Iran

Attribuzioni divergenti sull’attacco energetico in Polonia, nuove offensive cybercrime in Italia, sfruttate ITW diverse vulnerabilità

 Vedi tutte
Threat Intelligence, News

Phishing e breach in Italia, offensive iraniane, Muddled Libra e frodi sanitarie

Italia: offensive cybercrime nella penisola

È stata individuata di recente una campagna di phishing che, tramite falsi inviti a riunioni, induce le vittime a scaricare un presunto client Zoom che in realtà è un agent ScreenConnect camuffato, pronto a collegarsi a un server C2 controllato dall’attaccante. Il messaggio annuncia un imminente meeting apparentemente legittimo e reindirizza il target su una landing page che riproduce loghi e riferimenti Zoom. La pagina mostra un finto controllo del browser, propone un CAPTCHA e infine avverte che la versione di Zoom Workspace non è aggiornata, avviando automaticamente il download del presunto update, ovvero il payload malevolo. Passando al panorama ransomware, Akira Team ha rivendicato sul proprio sito dei leak la compromissione di Meleam S.p.A., società italiana operante nel settore della medicina del lavoro, della sicurezza aziendale e della formazione professionale. Stando a quanto riportato nel blog, l’operatore sarebbe in possesso di più di 12 GB di dati, tra cui informazioni finanziarie (audit, dettagli di pagamenti e report), dati personali di clienti e dipendenti, oltre a diversi contratti e accordi. Infine, doValue S.p.A., provider europeo di servizi finanziari con sede a Verona, operante nella gestione di portafogli di credito e di immobili derivanti da crediti deteriorati, ha rilasciato un comunicato nel quale dichiara di aver subito un attacco informatico che ha comportato una violazione di dati personali. La notizia segue la pubblicazione su due forum underground di due annunci di vendita uguali relativi a un presunto data leak riconducibile a doValue. Secondo quanto riportato dall’autore dei post, sarebbero stati esfiltrati oltre 16 TB di dati.

USA: tracciate nuove operazioni iraniane 

A partire da metà giugno 2025, in seguito allo scoppio della guerra tra Iran e Israele, ricercatori di sicurezza hanno osservato una nuova campagna di spear phishing intrapresa dall’APT iraniano Charming Kitten, rivolta contro giornalisti israeliani, esperti di cybersecurity di alto profilo e professori di informatica delle principali università in Israele. La CISA, l’FBI, il Department of Defense Cyber Crime Center (DC3) e l’NSA hanno inoltre rilasciato un advisory riguardo potenziali attacchi informatici diretti alle infrastrutture critiche statunitensi. In base all’attuale contesto geopolitico, avversari legati al governo di Teheran potrebbero prendere di mira dispositivi e reti USA per operazioni informatiche a breve termine. Le aziende della Defense Industrial Base (DIB), in particolare quelle che possiedono partecipazioni o rapporti con società di ricerca e Difesa israeliane, sono maggiormente a rischio. Infine, stando a quanto riportato da una nota agenzia di stampa britannica, avversari iraniani noti sotto lo pseudonimo di Robert avrebbero dichiarato di essere in possesso di circa 100 GB di e-mail provenienti da account di individui dell’entourage del Presidente statunitense Donald Trump, minacciando di divulgarle.

FBI: rilasciati advisory su attività contro il settore aereo e sanitario 

L’FBI ha rivelato di aver osservato il gruppo cybercrime Muddled Libra ampliare il proprio raggio d’azione per colpire il settore aereo. L’avversario si affida al social engineering, spesso impersonando dipendenti o appaltatori per ingannare gli help desk IT e indurli a concedere l’accesso. Le tecniche spesso prevedono metodi per aggirare l‘autenticazione a più fattori (MFA), come convincere i servizi di help desk ad aggiungere dispositivi MFA non autorizzati agli account compromessi. Il targeting riguarda grandi aziende e i loro fornitori IT terzi, il che significa che chiunque faccia parte dell’ecosistema della compagnia aerea, compresi provider e appaltatori fidati, potrebbe essere a rischio. Una volta entrato, l’attaccante esfiltra dati sensibili a scopo di estorsione e spesso distribuisce ransomware. In aggiunta, sempre l’FBI ha rilasciato un ulteriore advisory riguardo criminali informatici che si spacciano per investigatori specializzati in frodi sanitarie al fine di rubare dati sensibili. Gli avversari inviano e-mail e messaggi di testo a pazienti e operatori sanitari, mascherandoli come comunicazioni legittime provenienti da autorità sanitarie affidabili. Questi sono progettati per spingere le vittime a rivelare informazioni sanitarie protette, cartelle cliniche, dettagli finanziari personali o a predisporre rimborsi per presunti pagamenti in eccesso o servizi non coperti.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence