剣 KENSAI
← All posts · security · 2026-03-11

Furto di credenziali FortiGate, botnet KadNap colpisce 14.000 router, Microsoft corregge 2 Zero-Day

← Torna al Blog

1. Firewall FortiGate sfruttati per rubare credenziali AD

🚨 CRITICO — Campagna attiva che prende di mira sanità & pubblica amministrazione

Attori delle minacce abusano degli appliance FortiGate Next-Generation Firewall (NGFW) come punti di ingresso per violare le reti delle vittime. La campagna prende di mira ambienti sanitari, governativi e di managed service provider, estraendo file di configurazione contenenti credenziali di account di servizio e dati sulla topologia di rete.

Secondo SentinelOne, gli aggressori sfruttano vulnerabilità recentemente divulgate — CVE-2025-59718, CVE-2025-59719 e CVE-2026-24858 — o credenziali deboli per compromettere gli appliance FortiGate. Poiché questi dispositivi si collegano spesso ad Active Directory e LDAP per l'applicazione di policy basate sui ruoli, un appliance compromesso consegna agli aggressori le chiavi dell'intera infrastruttura di autenticazione.

In un incidente documentato, gli aggressori hanno creato un account amministratore locale fraudolento denominato "support", configurato quattro policy firewall permissive e successivamente decifrato il file di configurazione per estrarre credenziali di account di servizio LDAP in chiaro. Hanno poi registrato workstation fraudolente in Active Directory prima di essere rilevati.

Azioni necessarie: Aggiornare gli appliance FortiGate all'ultimo firmware immediatamente. Ruotare tutte le credenziali di account di servizio collegate a FortiGate. Abilitare MFA su tutte le interfacce amministrative. Monitorare la creazione non autorizzata di account e le modifiche alle policy del firewall.


2. La botnet KadNap dirotta oltre 14.000 router ASUS

🚨 CRITICO — Oltre 14.000 dispositivi compromessi, 60% negli USA

Un nuovo malware chiamato KadNap ha infettato oltre 14.000 dispositivi di rete periferici — principalmente router ASUS — per alimentare una botnet proxy stealth. Oltre il 60% delle vittime si trova negli Stati Uniti.

Scoperto da Black Lotus Labs presso Lumen, KadNap utilizza una versione personalizzata del protocollo Kademlia Distributed Hash Table (DHT) per nascondere la sua infrastruttura di comando e controllo all'interno di una rete peer-to-peer, rendendola altamente resiliente ai tentativi di takedown.

I dispositivi compromessi vengono convogliati in un servizio proxy chiamato Doppelgänger (un rebranding della rete proxy Faceless), che vende proxy residenziali "100% anonimi" in oltre 50 paesi. Il malware prende di mira processori ARM e MIPS, stabilisce la persistenza tramite cron job e chiude attivamente l'accesso SSH sulla porta 22 per impedire la remediation.

DettaglioInformazione
Dispositivi infettiOltre 14.000
Obiettivo principaleRouter ASUS
Vittime USA60%+
Protocollo C2Kademlia DHT personalizzato (P2P)
Servizio proxyDoppelgänger (rebranding di Faceless)
Attivo dalAgosto 2025

Azioni necessarie: Aggiornare il firmware dei router ASUS immediatamente. Controllare cron job non autorizzati e processi sconosciuti. Se compromesso, ripristinare il dispositivo alle impostazioni di fabbrica. Bloccare l'IP C2 noto 212.104.141.140.


3. Patch Tuesday di marzo 2026 di Microsoft: 2 Zero-Day, 79 vulnerabilità

⚠️ AGGIORNARE ORA — 2 Zero-Day divulgati pubblicamente

Il Patch Tuesday di marzo 2026 di Microsoft affronta 79 falle di sicurezza, incluse 2 vulnerabilità zero-day divulgate pubblicamente e 3 problemi classificati come critici. Due bug critici di esecuzione remota di codice interessano Microsoft Office e possono essere attivati tramite il riquadro di anteprima.

Punti chiave di questo ciclo di patch:

  • Zero-Day SQL Server EoP: Controllo di accesso improprio concede privilegi SQLAdmin sulla rete
  • Zero-Day .NET DoS: Lettura fuori dai limiti consente denial of service non autorizzato sulla rete
  • CVE-2026-26110 & CVE-2026-26113: Bug critici RCE di Office sfruttabili tramite il riquadro di anteprima
  • CVE-2026-26144: Falla di divulgazione informazioni in Excel che potrebbe esfiltrare dati tramite Microsoft Copilot — abilitando il furto di dati zero-click tramite la modalità agente IA

La vulnerabilità relativa a Copilot (CVE-2026-26144) è particolarmente degna di nota — rappresenta un nuovo vettore di attacco in cui gli assistenti IA possono essere weaponizzati per esfiltrare dati senza interazione dell'utente. Questo è un presagio della superficie di attacco abilitata dall'IA che le organizzazioni ora affrontano.

Azioni necessarie: Distribuire tutte le patch di marzo 2026 immediatamente. Dare priorità agli aggiornamenti di Office a causa dello sfruttamento del riquadro di anteprima. Rivedere i permessi di Copilot Agent e limitare le capacità di uscita dalla rete.


4. L'EDR killer BlackSanta prende di mira i dipartimenti HR

⚠️ CAMPAGNA ATTIVA — Attore di minacce russofono

Una campagna sofisticata in corso da oltre un anno distribuisce un nuovo EDR killer denominato BlackSanta ai dipartimenti risorse umane tramite email di spear-phishing con file ISO malevoli mascherati da curriculum vitae.

La catena di attacco è altamente evasiva: i file ISO contengono un collegamento Windows mascherato da PDF, uno script PowerShell e un'immagine che nasconde codice malevolo tramite steganografia. Il codice estratto utilizza il DLL sideloading tramite un eseguibile legittimo di SumatraPDF, esegue un rilevamento estensivo di sandbox e VM, quindi distribuisce BlackSanta.

BlackSanta disabilita sistematicamente il rilevamento degli endpoint tramite:

  • Aggiunta di esclusioni Microsoft Defender per file .dls e .sys
  • Riduzione della telemetria e dell'invio automatico di campioni al cloud Microsoft
  • Soppressione delle notifiche Windows per evitare di allertare l'utente
  • Utilizzo di process hollowing per eseguire payload all'interno di processi legittimi

Azioni necessarie: Allertare i team HR sugli attacchi di phishing con curriculum. Bloccare gli allegati ISO al gateway email. Monitorare le modifiche non autorizzate alle esclusioni di Defender. Implementare l'allowlisting delle applicazioni.


5. Bypass di autenticazione critico HPE AOS-CX

🚨 CRITICO — Reset della password admin senza autenticazione

HPE ha corretto CVE-2026-23813, un bypass di autenticazione critico nel sistema operativo Aruba Networking AOS-CX che consente ad aggressori remoti non autenticati di reimpostare le password degli amministratori sugli switch campus e data center della serie CX.

La vulnerabilità esiste nell'interfaccia di gestione web e richiede solo attacchi a bassa complessità per essere sfruttata. Qualsiasi organizzazione che utilizzi switch HPE AOS-CX con interfacce di gestione esposte è a rischio immediato.

Mitigazioni se il patching è ritardato:

  • Isolare le interfacce di gestione in una VLAN dedicata
  • Implementare controlli di accesso rigorosi di livello 3+ per il traffico di gestione
  • Disabilitare le interfacce HTTP(S) su SVI e porte instradate dove non necessario
  • Applicare ACL del piano di controllo sugli endpoint di gestione REST/HTTP

6. APT28 distribuisce BEARDSHELL & COVENANT contro l'esercito ucraino

Il gruppo russo APT28 (Fancy Bear / Unità GRU 26165) prosegue la sua campagna di cyberspionaggio contro l'Ucraina, distribuendo due impianti — BEARDSHELL e COVENANT — per la sorveglianza a lungo termine del personale militare ucraino dall'aprile 2024.

ESET riporta che l'arsenale include anche SLIMAGENT, capace di keylogging, cattura di screenshot e raccolta dati degli appunti. La campagna sottolinea la dimensione cibernetica continua del conflitto russo-ucraino e il targeting persistente delle comunicazioni militari.


7. La tecnica Zombie ZIP elude gli strumenti di sicurezza

Una nuova tecnica denominata "Zombie ZIP" consente agli aggressori di nascondere payload malevoli in file compressi appositamente creati che eludono il rilevamento antivirus ed EDR. La tecnica sfrutta le differenze nel modo in cui gli strumenti di sicurezza e il software di archiviazione legittimo analizzano i file ZIP, creando punti ciechi attraverso i quali il malware può infiltrarsi.

Azioni necessarie: Assicurarsi che gli strumenti di sicurezza possano ispezionare formati di archivio annidati e malformati. Considerare il sandboxing di tutti gli allegati compressi prima della consegna agli utenti finali.


8. CISA: Falla Ivanti EPM sotto sfruttamento attivo

CISA ha aggiunto una vulnerabilità recentemente corretta di Ivanti Endpoint Manager (EPM) al suo catalogo delle vulnerabilità sfruttate note (KEV) dopo aver confermato lo sfruttamento attivo in natura. Le organizzazioni che utilizzano Ivanti EPM devono dare priorità al patching immediatamente.

Il pattern di vulnerabilità Ivanti rapidamente weaponizzate continua — questa è l'ultima di una lunga serie di falle critiche Ivanti che passano dalla divulgazione allo sfruttamento in pochi giorni.


9. Il malware Android BeatBanker si spaccia per l'app Starlink

Un nuovo trojan bancario Android chiamato BeatBanker viene distribuito attraverso siti web falsi del Google Play Store, mascherandosi da applicazione Starlink. Una volta installato, il malware dirotta i dispositivi per intercettare credenziali bancarie e transazioni finanziarie.

Azioni necessarie: Installare app solo dal Google Play Store ufficiale. Abilitare Google Play Protect. Educare gli utenti sui falsi app store.


10. Supporto Passkey di Microsoft Entra per Windows

Nota positiva, Microsoft sta implementando il supporto passkey per Microsoft Entra sui dispositivi Windows, abilitando l'autenticazione senza password resistente al phishing tramite Windows Hello. Questo è un passo significativo verso l'eliminazione degli attacchi basati su password — le organizzazioni dovrebbero iniziare a pianificare il deployment delle passkey Entra.


Altre notizie

NotiziaImpatto
Il gruppo nordcoreano UNC4899 viola azienda cryptoFile AirDrop trojanizzato + tecniche living-off-the-cloud rubano milioni in criptovaluta
Windows 10 KB5078885 ESU rilasciatoAggiornamento di sicurezza esteso per Windows 10 affronta le vulnerabilità del Patch Tuesday di marzo inclusi 2 zero-day
Pacchetto npm malevolo impersona OpenClawIl pacchetto distribuisce RAT e ruba credenziali macOS, chiavi SSH, wallet crypto e cronologia iMessage

Come KENSAI ti protegge

Monitoraggio dispositivi periferici — Rileva dispositivi FortiGate, ASUS e HPE compromessi prima che gli aggressori penetrino più in profondità

Intelligence sulle patch — Tracciamento prioritario delle CVE per Microsoft, Ivanti e infrastruttura di rete entro ore dalla divulgazione

Controlli di integrità EDR — Identifica la manomissione tipo BlackSanta delle configurazioni di sicurezza degli endpoint

Postura di sicurezza IA — Monitora i permessi di Copilot e degli agenti IA per prevenire vettori di esfiltrazione dati come CVE-2026-26144


Azioni raccomandate

  1. Immediato: Aggiornare FortiGate all'ultimo firmware. Distribuire le patch Microsoft di marzo 2026. Aggiornare gli switch HPE AOS-CX.
  2. Oggi: Controllare i router ASUS per indicatori KadNap. Ruotare tutte le credenziali di account di servizio collegate a FortiGate. Rivedere le impostazioni di uscita dalla rete di Copilot Agent.
  3. Questa settimana: Bloccare gli allegati ISO ai gateway email. Verificare i deployment Ivanti EPM. Pianificare il rollout delle passkey Entra.
  4. Continuo: Monitorare i pattern di manomissione EDR. Informare i team HR sul phishing con curriculum. Implementare zero-trust per la gestione degli appliance di rete.

Proteggi la tua organizzazione con KENSAI

Scansione delle vulnerabilità alimentata dall'IA e monitoraggio continuo della sicurezza. Inizia la tua scansione gratuita oggi.

Inizia scansione gratuita →

Resta sicuro. Resta vigile.

🗡️ Team di Sicurezza KENSAI

🛡️ Il tuo sito è sicuro?

Scopri le vulnerabilità prima degli attaccanti.

Scansiona il tuo sito gratis →

All posts · Permalink