Il mondo della sicurezza informatica è stato scosso questa settimana da una serie di attacchi e minacce che hanno coinvolto aziende, istituzioni e utenti comuni a livello globale. Tra gli eventi più rilevanti spicca l’attacco ai server Microsoft SharePoint, attribuito a gruppi hacker cinesi come APT27, APT31 e Storm-2603, che hanno sfruttato vulnerabilità zero-day per compromettere oltre 400 organizzazioni in tutto il mondo. Questi attacchi hanno sfruttato falle di spoofing e di esecuzione di codice remoto, note come ToolShell, aprendo la strada a ransomware e sottrazione di dati sensibili.
Un altro episodio di rilievo riguarda la scoperta di una vasta campagna fraudolenta orchestrata dalla Corea del Nord, che ha visto lavoratori IT nordcoreani ottenere impieghi in aziende statunitensi tramite identità false, deepfake e profili social creati ad hoc. Queste operazioni servono sia a finanziare programmi nucleari che a infiltrarsi nelle reti aziendali per distribuire malware e rubare informazioni strategiche.
Sul fronte malware, due nuove campagne denominate Soco404 e Koske hanno preso di mira ambienti cloud vulnerabili per installare miner di criptovalute, dimostrando come la criminalità informatica sfrutti costantemente le configurazioni errate nei sistemi cloud. Degno di nota anche il trojan Coyote, capace di sfruttare il framework di accessibilità di Windows per sottrarre credenziali bancarie e dati sensibili, nonché le vulnerabilità attivamente sfruttate nei prodotti Cisco ISE che permettono l’esecuzione di codice come root.
La settimana ha visto anche la chiusura del forum XSS, storico punto di incontro per la cybercriminalità, e l’arresto dell’amministratore. Tuttavia, come spesso accade, la chiusura di questi forum è solo temporanea, con i criminali che migrano rapidamente su altre piattaforme.
Non sono mancate segnalazioni su campagne di phishing mirate agli utenti Telegram, su botnet che sfruttano server Linux mal gestiti e su nuovi stealer come Lumma e Amatera, progettati per eludere i sistemi di rilevamento. Gli attacchi supply chain continuano a rappresentare una minaccia concreta, come dimostra l’infezione del software ufficiale di Endgame Gear che ha distribuito malware Xred ai clienti.
Tra i consigli di sicurezza, emerge la necessità di non fidarsi ciecamente del proprio browser: informazioni personali, cookie di sessione e dati autofill possono essere facilmente estratti in caso di compromissione del dispositivo. È quindi fondamentale pulire regolarmente i dati, limitare le estensioni e utilizzare strumenti per la verifica e la cancellazione sicura delle tracce.
Questi eventi sottolineano come la superficie di attacco delle organizzazioni sia in costante espansione a causa di nuove vulnerabilità, supply chain non sicure e strategie di attacco sempre più sofisticate. Restare aggiornati e adottare una postura difensiva proattiva è essenziale per mitigare i rischi del panorama cyber moderno.