剣 KENSAI
← Back to archive

Briefing Giornaliero sulle Minacce

2026-03-17 · Martedì · 04:00 CET
Analisi automatizzata del panorama della sicurezza nelle ultime 24 ore
4
Violazioni
3
CVE Critiche
2
Campagne APT
3
Nuovi Strumenti

⚡ TL;DR — Cosa Conta Oggi

  • Attacco wiper a Stryker: Il gruppo iraniano Handala ha utilizzato la cancellazione remota di Intune su ~80K dispositivi — nessun malware necessario, solo un account Global Admin rubato
  • Escalation supply-chain GlassWorm: Token GitHub rubati usati per iniettare malware in centinaia di repository Python (Django, ML, pacchetti PyPI)
  • 0-day Chrome corretti: CVE-2026-3909 (Skia) e CVE-2026-3910 (V8) sfruttati attivamente — aggiornare immediatamente
  • Violazione Oracle EBS: Solo 4 grandi aziende (Broadcom, Bechtel, Estée Lauder, Abbott) non hanno ancora comunicato sull'impatto
  • Backdoor DRILLAPP: Attori legati alla Russia prendono di mira l'Ucraina tramite il debugging di Edge — accesso a microfono e webcam
  • Lancio di Betterleaks: Nuovo scanner open-source per segreti del creatore di Gitleaks — più veloce, più intelligente, licenza MIT

🔓 Violazioni e Incidenti

Stryker: Attacco Wiper Iraniano Colpisce ~80.000 Dispositivi

📅 16 Mar 🏢 Stryker (MedTech) 🌍 Globale

Il gruppo hacktivista Handala (legato all'Iran) ha compromesso un account amministratore di Stryker, creato un nuovo Global Administrator in Microsoft Entra ID e utilizzato il comando di cancellazione remota di Intune per eliminare ~80.000 dispositivi tra le 5:00 e le 8:00 UTC dell'11 marzo. Nessun malware è stato distribuito — gli aggressori hanno sfruttato le funzionalità legittime del MDM. Alcuni dipendenti hanno perso dati personali dai dispositivi BYOD registrati nella rete aziendale. I sistemi di ordinazione elettronica restano offline; i dispositivi medici sono confermati sicuri. Microsoft DART e Palo Alto Unit 42 stanno indagando.

KENSAI Angle: Questo attacco evidenzia un punto cieco critico — le piattaforme MDM come Intune possono essere trasformate in armi distruttive senza malware. L'Articolo 21 della NIS2 richiede controlli sulla catena di approvvigionamento e sull'accesso amministrativo. Le organizzazioni dovrebbero imporre MFA resistente al phishing su tutti gli account Global Admin e implementare il monitoraggio degli account break-glass.
Critico Wiper Abuso MDM Iran

Violazione Oracle EBS: 4 Colossi Aziendali Ancora in Silenzio

📅 16 Mar 🏢 Broadcom, Bechtel, Estée Lauder, Abbott

La violazione di Oracle E-Business Suite continua a svilupparsi: Broadcom, Bechtel, Estée Lauder e Abbott Technologies sono le uniche grandi aziende che non hanno ancora rilasciato dichiarazioni pubbliche sul potenziale impatto. I dettagli sul vettore di compromissione iniziale e sulla portata restano riservati mentre l'indagine prosegue.

Alto ERP Violazione Dati

Violazione Dati Dipendenti Starbucks tramite Phishing

📅 16 Mar 🏢 Starbucks

Starbucks ha confermato una violazione dei dati che ha colpito centinaia di dipendenti dopo attacchi di phishing mirati a un portale interno. Le informazioni personali dei dipendenti sono state compromesse. L'incidente evidenzia i rischi persistenti degli attacchi basati su credenziali contro i sistemi HR interni.

Alto Phishing Dati Dipendenti

Violazione Dati Clienti Loblaw

📅 16 Mar 🏢 Loblaw Companies 🌍 Canada

Il colosso canadese della grande distribuzione Loblaw ha comunicato che degli hacker hanno avuto accesso a dati personali dei clienti, inclusi nomi, indirizzi email e numeri di telefono. La portata della violazione e il vettore d'attacco non sono stati completamente divulgati.

Medio Retail PII

Falla di Sicurezza del UK Companies House Ha Esposto Dati Aziendali da Ottobre 2025

📅 16 Mar 🏢 UK Companies House 🌍 Regno Unito

Il servizio WebFiling dell'agenzia governativa britannica è stato messo offline venerdì dopo la scoperta di una falla di sicurezza che esponeva informazioni aziendali da ottobre 2025 — quasi 5 mesi di esposizione non rilevata. Il servizio è ora tornato online con la correzione applicata.

Alto Governo Esposizione Dati

🛡️ Vulnerabilità Critiche

0-Day Chrome: CVE-2026-3909 e CVE-2026-3910 (Sfruttati Attivamente)

📅 16 Mar ⚠️ CVSS: Alto 🔴 Sfruttati in natura

CVE-2026-3909: Scrittura fuori dai limiti nella libreria grafica 2D Skia. CVE-2026-3910: Implementazione inappropriata nel motore JavaScript/WebAssembly V8 che porta ad accesso fuori dai limiti. Entrambi sono attivamente sfruttati. Google ha rilasciato le patch — aggiornare Chrome immediatamente.

KENSAI Angle: Le vulnerabilità dei browser restano il vettore di attacco lato client n.1. La scansione DAST di KENSAI può verificare che le organizzazioni stiano applicando le policy di aggiornamento dei browser tramite analisi degli header e rilevamento delle versioni.
Critico 0-Day Chrome In-the-Wild

Wing FTP Server — CISA Segnala Sfruttamento Attivo

📅 16 Mar ⚠️ Inserito nel KEV 🔴 Sfruttato in natura

CISA ha aggiunto una vulnerabilità di Wing FTP Server al catalogo delle Vulnerabilità Note Sfruttate (KEV), avvertendo che viene attivamente concatenata con altre falle per l'esecuzione di codice remoto. Le agenzie federali devono applicare le patch entro le scadenze BOD 22-01.

Critico RCE CISA KEV

HPE AOS-CX: Reset Password Admin Senza Autenticazione

📅 16 Mar ⚠️ CVSS: Critico

Una vulnerabilità critica negli switch di rete HPE Aruba AOS-CX consente ad aggressori remoti non autenticati di reimpostare le password degli amministratori, aggirando completamente i controlli di autenticazione esistenti. Applicare immediatamente la patch — questo interessa l'infrastruttura di rete core.

Critico Infrastruttura di Rete Auth Bypass

Falla nell'Automazione Workflow n8n Sfruttata

📅 16 Mar 🔴 Sfruttata in natura

Una vulnerabilità nella popolare piattaforma di automazione workflow n8n è attivamente sfruttata. I dettagli sono emersi nel riepilogo settimanale di SecurityWeek. Le organizzazioni che gestiscono istanze n8n self-hosted dovrebbero verificare gli aggiornamenti e rivedere immediatamente i controlli di accesso.

Alto Automazione Sfruttata

🐛 Supply Chain e Malware

GlassWorm ForceMemo: Token GitHub Rubati → Malware nei Repository Python

📅 17 Mar ⚠️ Campagna Attiva 🌍 Globale

La campagna GlassWorm ha subito un'escalation drammatica. Gli aggressori stanno usando token GitHub rubati nell'attacco precedente alle estensioni VS Code per iniettare malware offuscato in centinaia di repository Python — app Django, codice di ricerca ML, dashboard Streamlit e pacchetti PyPI. La tecnica (denominata "ForceMemo") effettua il rebase di commit malevoli su quelli legittimi, preservando le informazioni dell'autore originale e i messaggi di commit per evitare il rilevamento. Chiunque esegua pip install da un repository compromesso attiva il malware. Le iniezioni risalgono all'8 marzo.

KENSAI Angle: Questo è un attacco supply chain da manuale — esattamente il tipo di minaccia per cui è stato scritto l'Articolo 21(2)(d) della NIS2. Le organizzazioni dovrebbero verificare le proprie dipendenze Python, controllare le firme dei commit e scansionare alla ricerca di indicatori di compromissione. Le capacità SBOM e di analisi delle dipendenze di KENSAI possono segnalare i pacchetti compromessi.
Critico Supply Chain Python GitHub

Campagne ClickFix Distribuiscono l'Infostealer MacSync per macOS

📅 16 Mar 🍎 macOS

Tre campagne ClickFix separate stanno distribuendo l'infostealer MacSync tramite falsi installer di strumenti AI (incluso un falso browser "OpenAI Atlas"). L'attacco si basa interamente sull'interazione dell'utente — le vittime copiano ed eseguono comandi terminale offuscati. Distribuito tramite risultati sponsorizzati di Google Search che portano a false pagine Google Sites. I ricercatori Sophos hanno documentato l'intera catena da novembre 2025 in poi.

Alto macOS Infostealer Ingegneria Sociale

Storm-2561: Falsi Client VPN per il Furto di Credenziali

📅 16 Mar ⚠️ Campagna Attiva

L'attore di minacce Storm-2561 sta distribuendo client VPN trojanizzati tramite SEO poisoning, distribuendo trojan e raccogliendo credenziali di accesso da utenti ignari che cercano software VPN legittimo.

Alto VPN SEO Poisoning Furto Credenziali

Emergenza Malware Slopoly

📅 16 Mar

Una nuova famiglia di malware denominata "Slopoly" è stata segnalata nel riepilogo settimanale di SecurityWeek. I dettagli stanno ancora emergendo, ma è stata citata tra le minacce notevoli della settimana.

Medio Nuovo Malware

🎯 Attività APT e Stati-Nazione

DRILLAPP: Backdoor Russa Prende di Mira l'Ucraina tramite Debugging di Edge

📅 16 Mar 🏴 Laundry Bear / UAC-0190 🎯 Ucraina

Un nuovo backdoor basato su JavaScript chiamato DRILLAPP sfrutta la funzionalità di debugging remoto di Microsoft Edge per operazioni di spionaggio furtive contro entità ucraine. Il malware può caricare/scaricare file, accedere al microfono e catturare immagini dalla webcam — tutto attraverso le capacità native del browser. Distribuito tramite esche a tema giudiziario e di beneficenza con file LNK. Attribuito a Laundry Bear (Void Blizzard), un gruppo di minacce legato alla Russia. Campagna osservata da febbraio 2026.

Critico APT Russia Spionaggio

CL-STA-1087: La Cina Prende di Mira le Forze Armate del Sud-Est Asiatico

📅 13 Mar 🏴 CL-STA-1087 🎯 Forze Armate SE Asia

Palo Alto Unit 42 ha rivelato una paziente operazione di spionaggio legata alla Cina (attiva dal 2020) che prende di mira organizzazioni militari del Sud-Est asiatico con i malware personalizzati AppleChris e MemFun. Gli aggressori hanno dimostrato "pazienza operativa strategica" e si sono concentrati su documenti altamente specifici sulle capacità militari piuttosto che sul furto di dati di massa.

Alto APT Cina Militare

Hacker Legati all'Iran Espandono gli Obiettivi alle Infrastrutture USA

📅 16 Mar 🏴 Gruppi Pro-Iran 🎯 USA, Medio Oriente

Hacker filo-iraniani stanno espandendo la loro azione oltre gli obiettivi mediorientali verso gli Stati Uniti, aumentando i rischi per appaltatori della difesa, centrali elettriche e impianti di trattamento delle acque durante i conflitti regionali in corso.

Alto Iran Infrastrutture Critiche ICS/OT

Centro di Ricerca Nucleare della Polonia: Tentativo di Attacco (Possibile Iran)

📅 16 Mar 🎯 Polonia

È stato segnalato un tentativo di attacco informatico al centro di ricerca nucleare della Polonia. Le prove iniziali indicano l'Iran, anche se i funzionari hanno riconosciuto che potrebbe trattarsi di un'operazione false flag. L'indagine è in corso.

Alto Nucleare Infrastrutture Critiche

🔧 Strumenti e Rilasci di Sicurezza

Betterleaks: Scanner Open-Source per Segreti (Successore di Gitleaks)

📅 15 Mar 📦 Licenza MIT 🔗 GitHub

Creato da Zach Rice (autore originale di Gitleaks, ora Head of Secrets Scanning presso Aikido Security), Betterleaks è una riscrittura completa con importanti miglioramenti: validazione delle regole basata su CEL, tokenizzazione BPE per il 98,6% di recall (contro il 70,4% con l'entropia), implementazione in puro Go, gestione automatica dei segreti con codifiche multiple, scansione Git parallelizzata e un set ampliato di regole per i provider. Funzionalità in arrivo: classificazione assistita da LLM e revoca automatica dei segreti.

Nuova Release Scansione Segreti Open Source

Bold Security: Lancio Stealth da $40M — Agenti AI per Dispositivi

📅 16 Mar 💰 Finanziamento $40M

Bold Security è emersa dalla modalità stealth con $40M di finanziamenti. Il loro approccio: trasformare i dispositivi in agenti AI attivi che comprendono le azioni dell'utente e forniscono protezione in tempo reale. Da monitorare come potenziale competitor/partner nello spazio della sicurezza AI.

Nuovo AI Security Startup

Android 17: Blocco delle API di Accessibilità per la Prevenzione del Malware

📅 16 Mar 📱 Android

Google sta testando una funzionalità di sicurezza in Android 17 Beta 2 che blocca le app non di accessibilità dall'utilizzo delle API Accessibility Services nella Modalità Protezione Avanzata. Questo prende di mira direttamente un vettore di attacco primario per i trojan bancari e lo spyware su Android.

Nuovo Android Sicurezza Mobile

📊 Pattern Emergenti

Tendenze Chiave di Questa Settimana

Diversi pattern convergenti da monitorare:

1. MDM come Arma: L'attacco a Stryker dimostra che gli strumenti di gestione legittimi (Intune, SCCM, Jamf) sono ora superfici d'attacco di prima classe. Nessun malware necessario — solo credenziali admin e un comando di cancellazione. Aspettatevi imitatori.

2. Cascata Supply Chain (GlassWorm → ForceMemo): Una singola compromissione della supply chain (estensioni VS Code) sta ora cascando in un attacco di secondo ordine sui repository Python. Questo schema a reazione a catena — dove le credenziali rubate da un attacco alimentano il successivo — sta accelerando.

3. ClickFix Diventa Cross-Platform: La tecnica di ingegneria sociale ClickFix (ingannare gli utenti per eseguire comandi nel terminale) è ora passata da Windows a macOS, distribuita tramite falsi installer di strumenti AI. L'hype dell'AI è la nuova esca di phishing.

4. Browser come C2: Sia DRILLAPP (debugging di Edge) che gli 0-day di Chrome dimostrano che i browser restano la superficie d'attacco più preziosa. Il confine tra "navigazione" e "compromesso" continua ad assottigliarsi.

5. Escalation dell'Iran: Tre notizie legate all'Iran in 24 ore — wiper Stryker, targeting infrastrutture USA, struttura nucleare in Polonia. Le tensioni geopolitiche si traducono direttamente in operazioni cyber.

KENSAI Angle: Molteplici notizie di questa settimana si mappano direttamente ai requisiti di conformità NIS2: sicurezza della supply chain (Art. 21.2d), gestione degli incidenti (Art. 21.2b), controllo degli accessi (Art. 21.2i). Questo è il panorama delle minacce per cui KENSAI è stato costruito.

📌 Altre Notizie Rilevanti

In Breve

Interruzione di Microsoft Exchange Online — Problema in corso che blocca l'accesso a caselle di posta e calendari (16 Mar)
Google ha pagato $17M in bug bounty nel 2025 — $3,7M solo per Chrome, $3,5M per la sicurezza cloud
Governance della Shadow AI — Nudge Security segnala l'adozione crescente e non monitorata di strumenti AI nelle aziende
Dirigente di azienda di sicurezza preso di mira — Phishing sofisticato con email firmate DKIM, redirect fidati e pagine di phishing protette da Cloudflare
Operazione anticrimine informatico di Interpol — Operazione multinazionale segnalata nei resoconti settimanali
Violazione dati Telus Digital — Colpita la sussidiaria canadese delle telecomunicazioni
Vulnerabilità Linux AppArmor — Falle che consentono l'escalation dei privilegi a root