Intelligence sulle Minacce Giornaliera
⛓️ Attacco alla Supply Chain — Trivy Scanner Compromesso
Trivy Vulnerability Scanner con Backdoor — Diffusione tramite Docker e GitHub
Il gruppo hacker TeamPCP ha compromesso il diffusissimo scanner open-source Trivy di Aqua Security. Versioni malevole (0.69.4–0.69.6) sono state pubblicate su Docker Hub contenenti malware di tipo information-stealer. L'attacco si è esteso oltre Docker — TeamPCP ha dirottato l'organizzazione GitHub di Aqua Security manomettendo decine di repository. L'ultima release sicura nota è la 0.69.3. Le immagini malevole sono state rimosse ma il raggio d'impatto sugli ambienti di sviluppo resta significativo.
Questo è esattamente il tipo di compromissione della supply chain che l'analisi SBOM e la scansione delle dipendenze di KENSAI possono rilevare. Se la vostra CI/CD ha scaricato immagini Trivy durante la finestra di compromissione, è necessario un audit immediato. Le organizzazioni che utilizzano il monitoraggio continuo di KENSAI sarebbero state allertate delle modifiche binarie impreviste.
Fonti: BleepingComputer, The Hacker News, SecurityWeek — 23 Mar
TeamPCP Distribuisce un Wiper per Kubernetes Mirato all'Iran
Lo stesso gruppo TeamPCP responsabile della compromissione di Trivy sta anche prendendo di mira i cluster Kubernetes con un wiper distruttivo. Lo script malevolo rileva se i sistemi sono configurati per infrastrutture iraniane e cancella tutte le macchine se la condizione è soddisfatta. Questo rappresenta un'escalation significativa dal furto di dati alla capacità distruttiva completa negli ambienti containerizzati.
Fonte: BleepingComputer — 23 Mar
🔴 Vulnerabilità Critiche
CVE-2026-21992 — Oracle Identity Manager RCE (Patch di Emergenza)
Oracle ha rilasciato una patch di emergenza fuori ciclo per CVE-2026-21992, una vulnerabilità critica in Oracle Identity Manager. La falla consente l'esecuzione di codice remoto senza autenticazione e potrebbe essere già stata sfruttata in-the-wild. Le organizzazioni che utilizzano Oracle Identity Manager devono applicare la patch immediatamente — si tratta di RCE pre-autenticazione su un sistema di gestione delle identità, rendendolo estremamente prezioso per gli attaccanti.
Fonte: SecurityWeek — 23 Mar
CVE-2025-32975 (CVSS 10.0) — Quest KACE SMA Sotto Attacco Attivo
Una vulnerabilità di gravità massima in Quest KACE Systems Management Appliance è attivamente sfruttata, in particolare nel settore dell'istruzione. Arctic Wolf ha osservato attività di sfruttamento a partire dalla settimana del 9 marzo su sistemi SMA non aggiornati esposti a Internet. Dato il punteggio CVSS 10.0 e lo sfruttamento confermato, è necessario un aggiornamento immediato.
Fonte: The Hacker News, SecurityWeek — 23 Mar
Catena di Exploit iOS DarkSword — Aggiunta al Catalogo CISA KEV
CISA ha aggiunto tre vulnerabilità DarkSword (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520) al suo catalogo Known Exploited Vulnerabilities. DarkSword è un sofisticato kit di exploit iOS che concatena 6 vulnerabilità per sandbox escape, escalation dei privilegi e RCE su iPhone (iOS 18.4–18.7). Collegato al fornitore turco di sorveglianza commerciale PARS Defense (UNC6748) e al gruppo di spionaggio russo UNC6353. Tre famiglie di malware distribuite: GhostBlade, GhostKnife, GhostSaber. Le agenzie federali hanno tempo fino al 3 aprile per applicare le patch.
Fonte: BleepingComputer, CISA — 23 Mar
QNAP Corregge Quattro Vulnerabilità Pwn2Own
QNAP ha corretto quattro vulnerabilità dimostrate al Pwn2Own, che consentivano la divulgazione di informazioni, l'esecuzione di codice e comportamenti imprevisti sui dispositivi NAS. Considerando la storia di QNAP come bersaglio di ransomware, l'aggiornamento tempestivo è essenziale.
Fonte: SecurityWeek — 23 Mar
💾 Violazioni di Dati
Crunchyroll Indaga sulla Violazione — Dichiarati 6,8 Milioni di Utenti Rubati
La popolare piattaforma di streaming anime Crunchyroll (di proprietà di Sony) sta indagando dopo che degli hacker hanno dichiarato di aver rubato i dati personali di circa 6,8 milioni di utenti. La violazione è sotto indagine attiva — la portata e l'autenticità sono ancora in fase di verifica.
Fonte: BleepingComputer — 23 Mar
Mazda Rivela Violazione dei Dati di Dipendenti e Partner
Mazda Motor Corporation ha confermato un incidente di sicurezza rilevato per la prima volta a dicembre 2025 che ha esposto dati di dipendenti e partner commerciali. La comunicazione è avvenuta a marzo 2026, evidenziando il persistente divario tra rilevamento e divulgazione pubblica nel settore automobilistico.
Fonte: BleepingComputer — 23 Mar
Filiale di Trio-Tech nel Settore Semiconduttori Colpita da Ransomware
L'azienda di servizi per chip Trio-Tech International ha comunicato che una filiale a Singapore è stata colpita da ransomware con crittografia dei file. La supply chain dei semiconduttori continua ad essere un bersaglio, con aziende di produzione e servizi per chip che affrontano una pressione crescente da ransomware.
Fonte: SecurityWeek — 23 Mar
🕵️ Attività Statali e APT
FBI/CISA: Hacker Russi Lanciano Phishing di Massa su Signal e WhatsApp
FBI e CISA hanno emesso un avviso congiunto secondo cui i Servizi di Intelligence Russi stanno conducendo campagne di phishing su larga scala mirando agli account Signal e WhatsApp di individui di alto valore — funzionari governativi, personale militare, figure politiche e giornalisti. Migliaia di account sono stati compromessi a livello globale. Una volta all'interno, gli attaccanti visualizzano i messaggi, esfiltrano i contatti e conducono ulteriore phishing da identità fidate.
Fonte: The Hacker News, FBI — 21–23 Mar
FBI Avverte: Hacker Iraniani Handala Usano Telegram per Distribuire Malware
L'FBI ha avvertito che hacker iraniani collegati al Ministero dell'Intelligence e della Sicurezza (MOIS) — noti come Handala — stanno utilizzando Telegram per distribuire malware. Gli Stati Uniti hanno confermato il collegamento di Handala con il governo iraniano e sequestrato diversi domini utilizzati nelle loro operazioni psicologiche cyber-enabled.
Fonte: BleepingComputer, SecurityWeek — 23 Mar
Hacker Nordcoreani Sfruttano VS Code per il Malware StoatWaffle
L'attore di minaccia Contagious Interview (WaterPlum) sta distribuendo il malware StoatWaffle tramite progetti VS Code malevoli. L'attacco sfrutta la funzionalità di auto-esecuzione tasks.json di VS Code — una tattica relativamente nuova adottata da dicembre 2025. Il bersaglio sono sviluppatori che aprono progetti VS Code apparentemente legittimi, eseguendo automaticamente il malware.
Fonte: The Hacker News — 23 Mar
🎣 Phishing e Ingegneria Sociale
La Piattaforma PhaaS Tycoon2FA Torna a Pieno Regime Dopo l'Intervento della Polizia
La piattaforma di phishing Tycoon2FA che Europol aveva interrotto il 4 marzo è già tornata ai livelli di attività pre-interruzione. I volumi e le tattiche di attacco restano invariati, dimostrando la resilienza dell'infrastruttura criminale informatica contro le operazioni delle forze dell'ordine. La piattaforma è specializzata nell'aggirare l'autenticazione a due fattori.
Fonte: BleepingComputer, SecurityWeek — 23 Mar
Microsoft: Phishing Stagione Fiscale IRS Colpisce 29.000 Utenti
Microsoft ha segnalato campagne di phishing su larga scala che sfruttano l'urgenza della stagione fiscale USA. Oltre 29.000 utenti presi di mira con false notifiche di rimborso IRS, moduli di busta paga e promemoria per la dichiarazione dei redditi. Le campagne distribuiscono malware di tipo Remote Monitoring & Management (RMM) e sfruttano piattaforme PhaaS. I bersagli includono sia privati che professionisti fiscali con accesso a dati finanziari sensibili.
Fonte: The Hacker News, Microsoft — 23 Mar
📊 Tendenze Emergenti e Ricerca
M-Trends 2026: Il Passaggio dell'Accesso Iniziale Scende a 22 Secondi
Il rapporto M-Trends 2026 di Mandiant, basato su oltre 500.000 ore di risposta agli incidenti, rivela che il tempo tra la compromissione da parte dell'initial access broker e il passaggio agli operatori ransomware si è ridotto da ore a soli 22 secondi. Questo riduce drasticamente la finestra a disposizione dei difensori per rilevare e rispondere alle intrusioni prima del dispiegamento del ransomware.
Tempi di passaggio di 22 secondi significano che il triage manuale dei SOC non è più praticabile per il rilevamento dell'accesso iniziale. La scansione automatizzata e continua — come l'approccio di KENSAI — diventa l'unica difesa realistica. Le organizzazioni senza capacità di risposta automatizzata sono essenzialmente indifese di fronte a questa velocità di attacco.
Fonte: SecurityWeek / Mandiant — 23 Mar
Otto Vettori di Attacco Scoperti in AWS Bedrock
Il team di ricerca sulle minacce di XM Cyber ha mappato otto vettori di attacco validati nella piattaforma AI AWS Bedrock: manipolazione dei log, compromissione della knowledge base, dirottamento degli agenti, iniezione nei flussi, degradazione dei guardrail e avvelenamento dei prompt. Man mano che gli agenti IA ottengono accesso ai dati aziendali (Salesforce, Lambda, SharePoint), diventano superfici di attacco ad alto valore con permessi e raggiungibilità verso asset critici.
La sicurezza dell'infrastruttura IA è una frontiera emergente. Man mano che le aziende connettono agenti IA ai sistemi di produzione, la superficie di attacco si espande drasticamente. Questo si allinea con il posizionamento di KENSAI nella sicurezza IA — scansione e protezione dell'infrastruttura che alimenta i sistemi IA.
Fonte: The Hacker News / XM Cyber — 23 Mar
Attacchi Basati sul Browser Aggirano i Controlli di Sicurezza Tradizionali
Un nuovo rapporto di Push Security documenta come gli attacchi basati sul browser — phishing AITM, ClickFix, app OAuth malevole e dirottamento delle sessioni — stiano causando le più grandi violazioni odierne ed eludendo i controlli di sicurezza tradizionali. Il browser è sempre più la superficie di attacco principale.
Fonte: BleepingComputer / Push Security — 23 Mar
💰 Industria e Finanziamenti
Cape Raccoglie $100M per la Sicurezza Cellulare
Cape, un operatore di rete virtuale mobile (MVNO) focalizzato sulla privacy, ha raccolto 100 milioni di dollari per la protezione contro le minacce alla sicurezza cellulare — servendo consumatori, aziende e clienti governativi.
Fonte: SecurityWeek — 23 Mar
Eclypsium Raccoglie $25M per la Sicurezza della Supply Chain dei Dispositivi
Eclypsium ha ottenuto 25 milioni di dollari per espandere la sua piattaforma di sicurezza della supply chain dei dispositivi e far crescere le partnership di canale. Tempestivo, considerando l'attacco alla supply chain di Trivy che domina le notizie di oggi.
Fonte: SecurityWeek — 23 Mar
3 Uomini Incriminati per Contrabbando di Hardware IA in Cina
Tre uomini sono stati incriminati per cospirazione finalizzata alla violazione dei controlli sulle esportazioni USA, deviando ingenti quantità di server IA ad alte prestazioni assemblati negli USA verso la Cina. Riflette la continua tensione geopolitica sull'accesso all'hardware IA.
Fonte: SecurityWeek — 23 Mar
📋 Conformità e Regolamentazione
Il Regno Unito Inasprisce i Requisiti di Segnalazione Cyber
Il Regno Unito sta rafforzando i requisiti obbligatori di segnalazione degli incidenti informatici. Insieme all'applicazione di NIS2 che si intensifica nell'UE, le organizzazioni si trovano ad affrontare una rete sempre più complessa di obblighi di segnalazione. Il reporting automatizzato di conformità — un differenziatore di KENSAI — diventa essenziale.
Fonte: SecurityWeek — 23 Mar