Content 

01. News Bites
  • Il Patch Tuesday di settembre 2024 di Microsoft corregge 79 vulnerabilità, tra cui quattro exploit zero-day 
  • Gli hacker di Lazarus si fingono reclutatori per colpire gli sviluppatori Python con malware in falsi test di codific

  • L'UE sanziona sei hacker russi per attacchi informatici a servizi sanitari e bancari

  • Il governo britannico designa i data center come infrastruttura nazionale critica per migliorare la sicurezza e la resilienza informatica

  • TfL conferma che l'incidente di sicurezza informatica non ha avuto alcun impatto sui dati dei clienti o sui servizi, ma che sono stati colpiti alcuni sistemi

02. Conclusion

Quick News Bites

Il patch September 2024 Patch Tuesday di Microsoft corregge 79 vulnerabilità, tra cui quattro exploit zero-day

Il patch September 2024 Patch Tuesday di Microsoft ha risolto 79 falle di sicurezza, tra cui quattro zero-day. Tre di questi zero-day sono attivamente sfruttati e uno è stato pubblicamente rivelato. Le vulnerabilità degne di nota includono:

  • CVE-2024-38014: Una vulnerabilità di elevazione dei privilegi in Windows Installer, che consente attacchi a livello di sistema.
  • CVE-2024-38217: Bypass della funzionalità di sicurezza di Mark of the Web, sfruttata dal 2018 attraverso una tecnica chiamata LNK stomping.
  • CVE-2024-38226: Una falla di Publisher che aggira le protezioni macro.

Inoltre, è stata contrassegnata come sfruttata la CVE-2024-43491, che colpisce i sistemi Windows 10, reintroducendo vulnerabilità in diversi componenti come Active Directory e IIS.

Sono state affrontate sette vulnerabilità critiche, che riguardano principalmente l'esecuzione di codice remoto e l'escalation dei privilegi. Per un elenco completo degli aggiornamenti e dei sistemi interessati, l'advisory di Microsoft fornisce informazioni dettagliate.

Gli hacker di Lazarus si fingono reclutatori per colpire gli sviluppatori Python con malware in falsi test di codifica

I membri del gruppo di hacker nordcoreani Lazarus si fingono reclutatori per colpire gli sviluppatori Python con progetti di test di codifica per il software di gestione delle password che contengono malware. Questa attività fa parte della “campagna VMConnect”, rilevata per la prima volta nell'agosto 2023, in cui gli attori delle minacce hanno caricato pacchetti Python dannosi sul repository PyPI.

Secondo ReversingLabs, che ha monitorato la campagna per oltre un anno, gli hacker utilizzano GitHub per ospitare questi progetti, fornendo file README dall'aspetto professionale per aumentare la legittimità dello schema. Il gruppo spesso si spaccia per le principali banche statunitensi, come Capital One, per attirare gli sviluppatori con allettanti offerte di lavoro.

Ulteriori indagini hanno rivelato che Lazarus contatta attivamente gli obiettivi tramite LinkedIn, una tattica nota al gruppo. Questo approccio, unito ai falsi test di codifica, crea un senso di urgenza e professionalità, rendendo più difficile per le vittime identificare la minaccia.

L'UE sanziona sei hacker russi per attacchi informatici a servizi sanitari e bancari

L'UE ha sanzionato sei persone coinvolte in attacchi informatici contro infrastrutture critiche e servizi essenziali, come quelli sanitari e bancari. È la prima volta che le sanzioni riguardano specificamente gli attacchi a questi settori. La dichiarazione del Consiglio europeo ha sottolineato l'impegno dell'UE a rafforzare la risposta alle attività informatiche dannose.

Attualmente, 14 persone e quattro entità sono sanzionate per crimini informatici contro l'UE. Le sanzioni includono il congelamento dei beni e il divieto di viaggiare, impedendo alle persone elencate di ricevere fondi dalle istituzioni dell'UE.

L'Agenzia dell'Unione europea per la sicurezza informatica (ENISA) ha evidenziato che la pubblica amministrazione, la sanità e l'infrastruttura digitale sono obiettivi chiave per i criminali informatici nella sua valutazione della minaccia 2023. Tra le persone sanzionate ci sono i leader dei gruppi di hacker russi, tra cui Oleksandr Skilanko e Mykola Chernykh, accusati di attacchi informatici contro l'Ucraina e gli Stati dell'UE attraverso il gruppo “Armageddon”. L'UE ha condannato il continuo comportamento informatico irresponsabile della Russia, che rientra nel più ampio conflitto con l'Ucraina.

Il governo britannico designa i data center come infrastruttura nazionale critica per migliorare la sicurezza e la resilienza informatica

Il governo britannico ha designato il settore dei data center come parte delle infrastrutture critiche nazionali (CNI), equiparandolo a servizi essenziali come l'energia e l'acqua. Questa scelta consente al governo di fornire supporto in caso di incidenti critici, riducendo al minimo l'impatto economico.

Verrà istituito un team dedicato alle infrastrutture di dati CNI per monitorare le minacce e fornire un accesso prioritario alle agenzie di sicurezza, come il National Cyber Security Centre, e coordinare i servizi di emergenza se necessario. Ciò significa che in casi come un attacco informatico a centri dati che ospitano dati sensibili del NHS, il governo interverrà per garantire la continuità dei servizi essenziali.

Il Segretario alla Tecnologia Peter Kyle ha sottolineato l'importanza di questa decisione per migliorare la cooperazione tra il governo e il settore contro le minacce informatiche.

TfL conferma che l'incidente di sicurezza informatica non ha avuto alcun impatto sui dati dei clienti o sui servizi, ma che sono stati colpiti alcuni sistemi

Transport for London (TfL) ha confermato che l'incidente di sicurezza informatica segnalato la scorsa settimana non ha avuto conseguenze sui dati dei clienti o sui servizi di trasporto pubblico. In un comunicato, TfL ha dichiarato che sta affrontando attivamente il problema, avendo adottato misure immediate per impedire ulteriori accessi al sistema.

Sebbene la rete di trasporto rimanga pienamente operativa, alcuni servizi sono stati colpiti, tra cui:

  • Applicazioni sospese per le fototessere Oyster, comprese le carte Zip.
  • Cronologia dei viaggi online non disponibile per gli utenti contactless
  • Impossibilità di emettere rimborsi per i viaggi contactless, con i clienti Oyster che devono autoservire online.

Il personale ha inoltre un accesso limitato al sistema, che potrebbe ritardare le risposte alle domande e all'invio di moduli web.

Closing Summary

Se ti preoccupano alcune delle minacce menzionate in questo bollettino o hai bisogno di aiuto per determinare quali passi intraprendere per proteggerti dalle minacce più rilevanti che la tua organizzazione deve affrontare, ti preghiamo di contattare il tuo account manager o, in alternativa, mettiti in contatto per scoprire come puoi proteggere la tua organizzazione.

Disclaimer

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.