Campagna di phishing prende di mira industrie britanniche e tedesche utilizzando HubSpot

Una sofisticata campagna di phishing ha colpito aziende automobilistiche, chimiche e manifatturiere in Germania e nel Regno Unito, sfruttando il Free Form Builder di HubSpot per rubare credenziali di Microsoft Azure.
Secondo il report di Unit 42 di Palo Alto Networks, la campagna è iniziata a giugno 2024 e ha compromesso circa 20.000 account entro settembre. Gli attori delle minacce hanno creato almeno 17 moduli fraudolenti su HubSpot per reindirizzare le vittime a pagine di furto credenziali che imitano Microsoft Azure e Outlook Web App.
Le vittime hanno ricevuto email di phishing con marchio DocuSign contenenti link a questi moduli ingannevoli di HubSpot. Poiché HubSpot è uno strumento CRM legittimo, i sistemi di sicurezza spesso non riuscivano a contrassegnare queste email.
Dopo la compromissione, gli attaccanti hanno utilizzato VPN per sembrare locali e tentare il reset delle password, creando una "lotta" per il controllo degli account. Sebbene molti server coinvolti siano ora offline, la campagna evidenzia l'abuso continuo di piattaforme legittime per bypassare gli strumenti di sicurezza delle email.
Restate vigili contro le campagne di phishing che sfruttano servizi fidati.

IA e Deepfake aumentano le minacce informatiche per le PMI britanniche

Nuove ricerche evidenziano come l’intelligenza artificiale (IA) e i deepfake stiano aumentando i rischi informatici per le piccole e medie imprese (PMI) nel Regno Unito.
Lo studio rivela che l'86% dei lavoratori delle PMI britanniche è preoccupato per le violazioni informatiche, ma solo un terzo si sente sicuro nel riconoscere le minacce. Inoltre, il 63% ritiene di non riuscire a identificare un problema di sicurezza informatica e un terzo teme che i propri errori possano causare un attacco.
L'IA ha reso più accessibile la scrittura di codice dannoso, contribuendo all'aumento degli attacchi informatici. I dati di Ofcom mostrano che il 34% degli utenti di internet ha subito truffe o attacchi di phishing, mentre il 43% ha incontrato deepfake nei primi mesi del 2024.
Mark Williams, COO di Sharp UK, avverte che nove violazioni su dieci iniziano con il phishing e sottolinea la necessità di una formazione sulla sicurezza informatica solida e aggiornata. Preoccupante è il dato secondo cui il 43% dei lavoratori non ha ricevuto alcuna formazione sulla sicurezza informatica nell’ultimo anno, lasciando le aziende vulnerabili.

APT29 sfrutta server proxy RDP in attacchi MiTM

Il gruppo hacker russo APT29, noto anche come "Midnight Blizzard", è stato identificato mentre utilizzava 193 server proxy di remote desktop protocol (RDP) per condurre attacchi man-in-the-middle (MiTM), secondo Trend Micro. Questi attacchi prendono di mira enti governativi, organizzazioni militari, fornitori di servizi IT e altri obiettivi negli Stati Uniti, in Europa e in Australia.
Il gruppo utilizza lo strumento PyRDP per intercettare sessioni RDP, consentendo loro di rubare credenziali, estrarre dati ed eseguire comandi dannosi. Le vittime vengono indotte a connettersi a server RDP falsi tramite email di phishing contenenti allegati malevoli.
Una volta connessi, gli attaccanti ottengono accesso alle risorse locali, inclusi dischi, reti e appunti, e possono esplorare i file system, modificare file e distribuire payload.
APT29 oscura le sue attività utilizzando VPN, nodi TOR e proxy residenziali. Gli esperti raccomandano di connettersi solo a server RDP fidati e di evitare link RDP ricevuti tramite email per difendersi da queste campagne.
Restate vigili e adottate buone pratiche di igiene informatica.

Meta multata per £207 milioni per una violazione della sicurezza di Facebook

Meta è stata multata per £207 milioni (€251 milioni) dalla Commissione irlandese per la protezione dei dati (DPC) per una violazione di Facebook del 2018 che ha esposto i dati personali di 29 milioni di utenti, inclusi tre milioni in Europa.
Gli attaccanti hanno sfruttato una vulnerabilità nella funzione "Visualizza come" di Facebook, compromettendo nomi, contatti, località e altre informazioni sensibili degli utenti, inclusi i dati personali dei loro figli.
La violazione è stata risolta tempestivamente da Meta, che ha notificato gli utenti interessati e il DPC. Tuttavia, il DPC ha criticato Meta per non aver integrato misure robuste di protezione dei dati durante la fase di progettazione della piattaforma, definendola un rischio significativo per i diritti e le libertà degli individui.
Questa multa si aggiunge ai quasi €3 miliardi di sanzioni affrontate da Meta nell’ambito del GDPR, inclusa una multa record di €1,2 miliardi nel 2023. Meta intende fare appello, affermando di aver agito rapidamente per affrontare la violazione. Il caso sottolinea l'importanza di pratiche rigorose di sicurezza dei dati.

Gli Stati Uniti valutano il divieto dei router TP-Link per problemi di sicurezza

Le autorità statunitensi stanno indagando su un possibile divieto dei router TP-Link a causa dei timori che possano essere sfruttati in cyberattacchi cinesi. Detentore del 65% del mercato dei router per case e piccole imprese negli Stati Uniti, TP-Link è sotto il mirino dei Dipartimenti di Commercio, Difesa e Giustizia.
L'indagine segue le affermazioni dei legislatori secondo cui le leggi cinesi obbligano le aziende a supportare le operazioni di intelligence e militari dello stato, insieme a rapporti di cyberattacchi che sfruttano dispositivi TP-Link. Nell’ottobre 2024, Microsoft ha collegato un gruppo hacker cinese ad attacchi che utilizzavano router TP-Link per colpire governi occidentali e organizzazioni di difesa.
Le autorità statunitensi potrebbero vietare la vendita di TP-Link già dal prossimo anno, citando vulnerabilità di sicurezza e possibili violazioni delle leggi sui prezzi. TP-Link insiste sul fatto che le sue pratiche siano in linea con gli standard del settore e promette cooperazione con le autorità statunitensi.
Se attuato, il divieto potrebbe rimodellare il mercato statunitense dei router, riflettendo le crescenti tensioni tra Stati Uniti e Cina in ambito tecnologico e di sicurezza informatica.

Se sei preoccupato per una delle minacce descritte in questo bollettino o hai bisogno di aiuto per determinare quali passi intraprendere per proteggerti dalle minacce più rilevanti per la tua organizzazione, ti invitiamo a contattare il tuo account manager o, in alternativa, mettiti in contatto per scoprire come proteggere la tua organizzazione.

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.