Vulnerabilità critiche in n8n, l’Italia nel mirino di attività di phishing e ransomware, le ultime dalla Cina

Nuovi attacchi in Italia, notificati data breach, offensive dalla Cina

 Vedi tutte
Threat Intelligence, News

Violazioni Salesforce impattano molteplici aziende, cybercrime in Italia, nuove operazioni state-sponsored

Salesforce: rilasciati nuovi dettagli sugli attacchi

Il raggio d’azione del recente attacco alle istanze Salesforce attribuito a UNC6395, che ha sfruttato token OAuth compromessi legati al Chat Agent AI Salesloft Drift, si è rivelato ancora più ampio di quanto inizialmente riportato. L’offensiva sembrerebbe essere la più rilevante campagna di violazione SaaS dell’anno, con oltre 700 aziende potenzialmente coinvolte. La portata non sarebbe esclusiva dell’integrazione di Salesforce con Salesloft Drift, ma potrebbe impattare anche altre integrazioni, come quella in Gmail. In particolare, in casi limitati, tramite i token dell’integrazione “Drift Email”, è stato effettuato l’accesso alla posta elettronica di un numero molto limitato di account di Google Workspace che avevano esplicitamente collegato Drift. Si consiglia a tutti gli utenti di Drift di considerare tutti i token di autenticazione memorizzati o collegati alla piattaforma come potenzialmente compromessi. Negli ultimi giorni diverse aziende hanno confermato di essere state coinvolte, tra queste: Zscaler, Palo Alto Networks, Cloudflare, PagerDuty, Tanium, SpyCloud, Proofpoint, Megaport, JFrog, Workiva, Tenable, Rubrik, Bugcrowd, BeyondTrust, Contentsquare/Heap, Cato Networks, CyberArk ed Esker. In tutti i casi si parla di accesso non autorizzato a dati presenti nel CRM Salesforce – contatti, ticket di supporto o informazioni business – ma senza evidenze di impatti sui prodotti, sulle piattaforme core o sulle reti interne. Il rischio principale rimane l’uso dei dati esfiltrati per campagne di spear phishing o tentativi di movimento laterale.

Italia: nuove offensive cybercrime colpiscono il Paese

È stata segnalata una nuova campagna di phishing, attualmente in corso, che fa riferimento all’Agenzia delle Entrate e a WeTransfer, popolare servizio di file sharing. Le e-mail ingannevoli imitano le notifiche ufficiali della piattaforma, con l’obiettivo di convincere i destinatari a scaricare documenti fiscali apparentemente urgenti, come un falso file denominato FatturaAgenziaEntrate.pdf. Per aumentare la credibilità del messaggio, le comunicazioni sembrano provenire da un dominio istituzionale .gov[.]it, con l’oggetto delle e-mail che riporta “amministrazione@cert.gov.it ti ha inviato 2 file tramite WeTransfer”. In aggiunta, sono state rilevate in Italia una nuova ondata della campagna di distribuzione malware via MintsLoader, che sfrutta caselle PEC compromesse e segue una già registrata lo scorso giugno; e una nuova ondata di una campagna di smishing che sfrutta il nome e il logo dell’Istituto Nazionale Previdenza Sociale (INPS) prendendo di mira gli utenti al fine di sottrarne dati personali e finanziari. Passando al panorama ransomware, l’Ordine dei Giornalisti del Lazio ha segnalato di essere stato colpito da un attacco che potrebbe aver consentito l’accesso al contenuto dei sistemi informatici e sembrerebbe riconducibile all’operatore DragonForce Team. Inoltre, Everest Team ha rivendicato sul proprio sito dei leak la compromissione di Cordeiro Guerra & Associati, studio legale con sedi a Firenze e Milano; mentre SAFEPAY la violazione di Zanetti S.r.l., azienda operante nel settore dell’architettura specializzata nella progettazione e nella costruzione di facciate in vetro e alluminio.

State-sponsored: spear phishing su scala globale e compromissione del Ministero dell’Interno austriaco

È stata tracciata una campagna di spear phishing orchestrata dall’iraniano Homeland Justice associato al MOIS (Ministero dell’Intelligence e della Sicurezza dell’Iran) e mirata a colpire asset diplomatici e governativi globali con un malware denominato sysProcUpdate. L’operazione ha sfruttato una casella di posta elettronica compromessa di un’ambasciata del Ministero degli Esteri dell’Oman con sede a Parigi per inviare e-mail ingannevoli a enti governativi e diplomatici in numerose nazioni. Tali e-mail, mascherate come comunicazioni ufficiali e urgenti del Ministero, contenevano documenti Word con macro malevole. Si è trattato di un’offensiva a più ondate e su una scala più ampia di quanto inizialmente apparisse. Da un set di dati composto da 270 e-mail, sono stati utilizzati 104 indirizzi compromessi unici per mascherare la vera origine dell’attività. Il targeting dell’operazione è ampio e diversificato, includendo ambasciate, consolati, organizzazioni multilaterali come l’ONU e la Banca Mondiale, nonché enti governativi in Europa, Africa, Medio Oriente, Asia e Americhe; con una scelta tematica dei messaggi e dei documenti falsi calibrata sulle specificità regionali e diplomatiche. Inoltre, è stato comunicato che l’infrastruttura informatica del Ministero federale dell’Interno austriaco (BMI) è stata compromessa. In particolare, sono state registrate irregolarità in uno dei sistemi degli uffici del BMI e in alcune aree sono state colpite circa 100 delle 60.000 caselle di posta elettronica.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center, ora parte dell’area Threat Intelligence & Response di Telsy

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence