Novità nel panorama APT, campagne e malware inediti, notificati diversi data breach

Vulnerabilità critiche in n8n, l’Italia nel mirino di attività di phishing e ransomware, le ultime dalla Cina

 Vedi tutte
Threat Intelligence, News

Update sulle violazioni Salesforce, data breach impattano Plex e Jaguar Land Rover, operazioni russe e cinesi

UNC6395: ulteriori aziende colpite e chiarita l’origine della compromissione

Questa settimana, alla lista delle aziende coinvolte nell’incidente che ha visto sfruttata l’integrazione Drift di Saleloft su Salesforce da parte di UNC6395 si sono aggiunte: Sigma Computing, Elastic, Nutanix, Qualys, Dynatrace, Fastly, Workday, HackerOne e Pantheon; le quali hanno pubblicato comunicazioni ufficiali in merito agli impatti subiti in seguito all’attività malevola. Il quadro rimane coerente con i casi precedenti: accesso non autorizzato a dati Salesforce (contatti, dettagli di ticket) e assenza di evidenze di compromissione delle piattaforme core o delle reti interne. Salesloft ha inoltre rilasciato update in merito, spiegando che l’origine della compromissione dei dati è riconducibile all’accesso a GitHub. In particolare, dalle analisi condotte è emerso che tra marzo e giugno 2025 l’avversario ha avuto accesso all’account GitHub di Salesloft, riuscendo a scaricare contenuti da più repository, aggiungere un utente guest e impostare workflow. Successivamente, ha ottenuto l’accesso all’ambiente AWS di Drift e ha sottratto OAuth token relativi alle integrazioni dei clienti, sfruttati poi per accedere ai dati attraverso le stesse integrazioni Drift.

Breach: colpita Plex mentre Jaguar Land Rover notifica furto di dati

La piattaforma di streaming media Plex ha comunicato agli utenti la necessità di reimpostare le proprie password in seguito a un nuovo data breach conseguente all’accesso malevolo a uno dei database della società, che ha comportato il furto di dati di autenticazione. Le informazioni sottratte includono indirizzi e-mail, user name e hash delle password. L’azienda non ha specificato quale algoritmo di hashing sia stato utilizzato; pertanto, esiste il rischio che l’avversario possa tentare di decriptare i codici di accesso. In aggiunta, Plex precisa che non sono stati compromessi dettagli di pagamento, poiché tali informazioni non sono conservate nei suoi server. Passando al settore automotive, Jaguar Land Rover (JLR), ha annunciato che, durante il recente attacco informatico notificato il 2 settembre, alcuni dati sono stati effettivamente sottratti dall’attaccante. In seguito a tale offensiva l’azienda è stata costretta a sospendere i propri sistemi, con gravi ripercussioni sulle attività di vendita al dettaglio e sulla produzione.

APT: tracciate operazioni inedite russe e cinesi

È stata tracciata una campagna di spear phishing denominata Operation BarrelFire, ad opera di un gruppo di probabile matrice russa e focalizzato sul settore energetico kazako, chiamato Noisy Bear. Nel dettaglio, l’operazione è stata indirizzata contro i dipendenti di KazMunaiGas (KMG), compagnia petrolifera e del gas statale del Kazakistan, mediante e-mail contenenti documenti falsi che imitano comunicazioni interne ufficiali, come aggiornamenti su policy e procedure di certificazione o modifiche salariali. Sempre all’interno del panorama russo, è stata identificata una nuova backdoor per Microsoft Outlook, soprannominata NotDoor  e attribuita all’APT Sofacy, il quale l’ha impiegata in recenti campagne contro aziende di diversi settori appartenenti a Paesi NATO. L’artefatto in questione è una macro VBA per Outlook progettata per monitorare la posta in arrivo alla ricerca di una specifica parola trigger. Nel momento in cui l’e-mail viene rilevata, consente all’attaccante di sottrarre dati, caricare file ed eseguire comandi sul computer della vittima. Anche in Cina è stato tracciato l’impiego di un nuovo toolset multistadio, un sofisticato framework malware fileless, denominato EggStreme. Si tratta di un insieme strettamente integrato di componenti malevoli che consente di stabilire un punto d’appoggio prolungato sui sistemi compromessi mediante l’iniezione di codice malevolo direttamente nella memoria e sfruttando la tecnica del DLL Side-Loading per eseguire i payload. Infine, il cluster cinese Axiom ha agito sfruttando il nome di un deputato degli Stati Uniti distribuire spyware contro organizzazioni coinvolte nei negoziati dell’amministrazione Trump, con l’obiettivo di acquisire informazioni sulla strategia americana in vista del vertice economico USA-Cina di novembre.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center, ora parte dell’area Threat Intelligence & Response di Telsy

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence