Phishing Teams installa A0Backdoor, campagna di dirottamento Signal, Salesforce Aura sotto attacco
1. Phishing su Microsoft Teams distribuisce il malware A0Backdoor
🚨 CRITICO — Campagna attiva contro settori finanziario e sanitario
Attori malevoli stanno sfruttando messaggi Microsoft Teams per colpire dipendenti dei settori finanziario e sanitario. Dopo aver avviato il contatto tramite Teams, gli aggressori convincono le vittime a concedere accesso remoto tramite Quick Assist, uno strumento legittimo di supporto remoto Windows. Una volta connessi, installano una backdoor mai documentata prima chiamata A0Backdoor.
La catena di attacco si distingue per la sofisticazione dell'ingegneria sociale — gli aggressori si spacciano per personale di supporto IT e creano urgenza attorno a presunti problemi di sicurezza. A0Backdoor fornisce accesso persistente, raccolta di credenziali e capacità di movimento laterale.
Azioni necessarie: Limitare l'uso di Quick Assist tramite Criteri di Gruppo. Formare i dipendenti sulle richieste di supporto Teams non sollecitate. Monitorare attività insolite degli strumenti di accesso remoto.
2. Google: gli attacchi cloud passano dalle credenziali allo sfruttamento delle vulnerabilità
L'ultimo rapporto di threat intelligence di Google rivela un cambiamento significativo nelle tattiche di attacco cloud. Gli hacker sfruttano sempre più le vulnerabilità recentemente divulgate nel software di terze parti anziché fare affidamento su credenziali deboli o rubate per l'accesso iniziale al cloud.
La scoperta più allarmante: la finestra tra la divulgazione di una vulnerabilità e il suo sfruttamento attivo si è ridotta da settimane a pochi giorni, talvolta ore. Ciò esercita un'enorme pressione sui team di sicurezza per applicare le patch immediatamente.
| Metrica | Precedente | Attuale |
|---|---|---|
| Tempo medio fino allo sfruttamento | 2–4 settimane | 1–3 giorni |
| Principale vettore di accesso iniziale | Credenziali rubate | Sfruttamento vulnerabilità |
| Coinvolgimento software di terze parti | Moderato | Obiettivo primario |
3. Hacker del GRU russo dirottano account Signal e WhatsApp
🚨 STATO-NAZIONE — Allarme del governo olandese
Il governo olandese ha emesso un avvertimento formale riguardo a una campagna di phishing in corso sponsorizzata dallo stato russo e collegata al GRU (intelligence militare russa). La campagna prende di mira funzionari governativi, personale militare e giornalisti, tentando di dirottare i loro account Signal e WhatsApp.
Gli aggressori utilizzano ingegneria sociale sofisticata per indurre i bersagli a collegare i propri account di messaggistica a dispositivi controllati dagli aggressori. Una volta compromessi, gli attori ottengono pieno accesso alle conversazioni crittografate, ai contatti e ai media condivisi.
Azioni necessarie: Verificare i dispositivi collegati nelle impostazioni di Signal e WhatsApp. Attivare il blocco di registrazione su Signal. Informare il personale ad alto rischio su questa specifica minaccia.
4. Violazione dati di Ericsson US
La filiale statunitense di Ericsson ha divulgato una violazione dei dati derivante dalla compromissione di un fornitore di servizi terzo. Sono stati rubati dati di dipendenti e clienti, incluse informazioni personalmente identificabili.
Questo incidente evidenzia il rischio persistente degli attacchi alla supply chain — anche quando la propria sicurezza è solida, fornitori e prestatori di servizi possono diventare l'anello debole.
5. ShinyHunters sfrutta una vulnerabilità di Salesforce Aura
⚠️ SFRUTTAMENTO ATTIVO — Salesforce Experience Cloud
Il famigerato gruppo di estorsione ShinyHunters sta sfruttando attivamente un nuovo bug in Salesforce Experience Cloud (framework Aura) per rubare dati da istanze mal configurate. Le organizzazioni con siti Salesforce Experience Cloud esposti sono a rischio immediato.
ShinyHunters ha un curriculum di violazioni dei dati massive e tipicamente estorce le vittime minacciando di divulgare i dati rubati. La vulnerabilità di Salesforce Aura consente l'accesso non autorizzato a record sensibili quando le istanze sono configurate in modo improprio.
Azioni necessarie: Verificare immediatamente le configurazioni di Salesforce Experience Cloud. Controllare i permessi degli utenti ospiti. Verificare la presenza di pattern di accesso ai dati anomali.
6. Pacchetto npm malevolo si spaccia per OpenClaw
È stato scoperto un pacchetto npm malevolo chiamato @openclaw-ai/openclawai che si spaccia per un installer legittimo. Il pacchetto installa un Trojan di accesso remoto (RAT) e ruba dati sensibili dai sistemi macOS, tra cui:
- Credenziali di sistema e dati del portachiavi
- Cookie del browser e password salvate
- File di portafogli di criptovalute
- Chiavi SSH e configurazione
- Cronologia iMessage
Il pacchetto ha accumulato 178 download prima del rilevamento. Si tratta di un classico attacco alla supply chain che sfrutta la fiducia nei gestori di pacchetti.
7. Il gruppo nordcoreano UNC4899 compromette un'azienda crypto
Il team Mandiant di Google attribuisce la violazione di un'azienda crypto a UNC4899 (noto anche come TraderTraitor), un gruppo di minacce nordcoreano. Gli aggressori hanno compromesso il bersaglio tramite un file AirDrop trojanizzato, quindi hanno effettuato un pivot nell'infrastruttura cloud utilizzando tecniche living-off-the-cloud — sfruttando servizi cloud legittimi per mimetizzarsi nell'attività normale.
Ciò rappresenta un'evoluzione nelle operazioni cibernetiche nordcoreane, dimostrando una crescente sofisticazione nelle tecniche di attacco cloud-native.
8. Estensioni Chrome diventano malevole dopo il cambio di proprietà
Due estensioni Chrome si sono rivelate malevole dopo il trasferimento della proprietà a nuovi sviluppatori. I nuovi proprietari hanno rilasciato aggiornamenti che abilitavano l'iniezione di codice e il furto di dati, colpendo gli utenti che avevano le estensioni installate con l'aggiornamento automatico attivo.
Azioni necessarie: Verificare le estensioni del browser in tutta l'organizzazione. Implementare una whitelist di estensioni consentite. Monitorare aggiornamenti imprevisti delle estensioni.
9. Cisco Catalyst SD-WAN CVE-2026-20127 sotto sfruttamento massivo
🚨 CVE CRITICO — Sfruttamento massivo attivo
Una vulnerabilità critica in Cisco Catalyst SD-WAN (CVE-2026-20127) è ora oggetto di sfruttamento massivo da numerosi indirizzi IP. Le organizzazioni che operano infrastruttura Cisco SD-WAN interessata devono applicare le patch immediatamente o implementare mitigazioni.
Azioni necessarie: Applicare immediatamente le patch dell'avviso di sicurezza Cisco. Se la patch non è possibile, implementare le soluzioni alternative raccomandate e monitorare gli indicatori di compromissione.
10. L'attacco ClickFix si evolve con Windows Terminal
La tecnica di ingegneria sociale ClickFix si è evoluta. Gli aggressori ora utilizzano false pagine CAPTCHA che istruiscono le vittime a incollare comandi malevoli in Windows Terminal anziché nella tradizionale finestra di dialogo Esegui. Questa tecnica di evasione aggira diversi controlli di sicurezza che monitorano la finestra di dialogo Esegui.
Il passaggio a Windows Terminal è significativo perché offre un ambiente di esecuzione più potente e potrebbe non essere monitorato dagli strumenti di rilevamento endpoint legacy.
11. Altre notizie
| Notizia | Impatto |
|---|---|
| L'FBI indaga su una violazione del sistema di sorveglianza | L'FBI indaga su attività cibernetica sospetta su un sistema contenente informazioni di sorveglianza sensibili |
| CISA aggiunge falle iOS al KEV | L'exploit kit Coruna prende di mira 23 vulnerabilità in iOS 13–17.2.1; livello statale |
| Aggiornamento della strategia cyber USA | Nuova strategia rivolta ad avversari, protezione delle infrastrutture critiche e IA/crittografia post-quantistica |
Come KENSAI ti protegge
✅ Monitoraggio CVE in tempo reale — CVE-2026-20127 e tutte le vulnerabilità critiche tracciate entro ore dalla divulgazione
✅ Analisi della supply chain — Rilevamento di pacchetti malevoli come il falso installer npm OpenClaw
✅ Audit della configurazione cloud — Identificare le configurazioni errate di Salesforce prima che lo faccia ShinyHunters
✅ Gestione continua della superficie di attacco — Monitoraggio dell'esposizione su tutti i vettori
Azioni raccomandate
- Immediato: Applicare la patch a Cisco SD-WAN CVE-2026-20127. Limitare Quick Assist tramite Criteri di Gruppo.
- Oggi: Verificare le configurazioni di Salesforce Experience Cloud. Controllare i dispositivi collegati su Signal/WhatsApp.
- Questa settimana: Verificare le estensioni del browser in tutta l'organizzazione. Controllare le dipendenze npm per pacchetti malevoli.
- Continuativo: Implementare la gestione continua delle vulnerabilità. Formare il personale sulle tecniche di phishing Teams e ClickFix.
Proteggi la tua organizzazione con KENSAI
Scansione delle vulnerabilità basata sull'IA e monitoraggio continuo della sicurezza. Avvia oggi il tuo scan gratuito.
Avvia scan gratuito →Restare al sicuro. Restare vigili.
🗡️ Team di Sicurezza KENSAI
🛡️ Il tuo sito è sicuro?
Scopri le vulnerabilità prima degli attaccanti.
Scansiona il tuo sito gratis →