Gli attori di minacce affiliati alla Corea del Nord hanno trovato un nuovo modo per colpire i sviluppatori tramite LinkedIn, utilizzando falsi annunci di lavoro come esca. Secondo un recente rapporto di Mandiant, società di proprietà di Google, questi attacchi iniziano spesso con test di codifica, che fungono da vettore di infezione iniziale.

Secondo recenti scoperte di Cisco Talos, attori malevoli stanno utilizzando un tool progettato per esercizi di red teaming al fine di distribuire malware. Questo strumento, noto come MacroPack, è un framework di generazione di payload utilizzato per creare documenti Office, script Visual Basic, scorciatoie di Windows e altri formati per test di penetrazione e valutazioni di ingegneria sociale.

Una recente vulnerabilità di sicurezza nel software OSGeo GeoServer GeoTools è stata sfruttata in diverse campagne per distribuire miner di criptovalute, malware botnet come Condi e JenX, e una backdoor nota come SideWalk. La vulnerabilità di sicurezza è un bug critico di esecuzione di codice remoto (CVE-2024-36401, punteggio CVSS: 9.8) che potrebbe permettere agli attori malintenzionati di prendere il controllo delle istanze vulnerabili.

Una nuova campagna malware sta utilizzando software VPN falso di GlobalProtect per distribuire una variante del WikiLoader tramite una strategia di ottimizzazione per i motori di ricerca (SEO). Questa attività di malvertising, osservata a giugno 2024, segna una deviazione dalle tattiche precedentemente osservate, in cui il malware veniva propagato tramite email di phishing tradizionali.

Un gruppo di hacker di lingua cinese, noto come Tropic Trooper, ha recentemente preso di mira enti governativi nel Medio Oriente e in Malesia, concentrandosi particolarmente su studi relativi ai diritti umani. Questa campagna di attacchi informatici è iniziata nel giugno 2023 e ha evidenziato un cambiamento strategico significativo per il gruppo.

Gli attacchi informatici non conoscono confini e l'ultima scoperta di Trend Micro ne è una dimostrazione. Si tratta di un malware cross-platform chiamato KTLVdoor, utilizzato da un gruppo di hacker di lingua cinese noto come Earth Lusca.

Un recente attacco informatico ha messo in allerta la comunità della cybersecurity, con il gruppo APT-C-60 che ha sfruttato una vulnerabilità zero-day in Kingsoft WPS Office per distribuire il backdoor SpyGlace. Questa falla di sicurezza, identificata come CVE-2024-7262, è stata scoperta e corretta, ma non prima che venisse utilizzata per attacchi mirati contro utenti cinesi e dell'Asia orientale.

Una vulnerabilità di alta gravità, presente da anni nelle telecamere IP AVTECH, è stata recentemente sfruttata da attori malevoli per integrarli in una botnet. Questa vulnerabilità, identificata come CVE-2024-7029 con un punteggio CVSS di 8.7, è una falla di iniezione di comandi nella funzione di luminosità delle telecamere a circuito chiuso (CCTV) AVTECH che consente l'esecuzione di codice remoto (RCE).

Nel panorama attuale della sicurezza informatica, è emerso un nuovo ransomware basato su Rust, chiamato Cicada3301, che prende di mira sia i sistemi Windows che Linux. Questo ransomware presenta molte somiglianze con l'ormai defunta operazione BlackCat (nota anche come ALPHV).

Il gruppo ransomware RansomHub ha cifrato ed esfiltrato dati da almeno 210 vittime da febbraio 2024, secondo il governo degli Stati Uniti. Le vittime appartengono a vari settori, tra cui acqua e acque reflue, tecnologia dell'informazione, servizi governativi, sanità, servizi di emergenza, alimentazione e agricoltura, servizi finanziari, strutture commerciali, produzione critica, trasporti e infrastrutture di comunicazione.