Spcnet.it

2026-06-03 13:45:34

CVE-2026-42945 (NGINX Rift): vulnerabilità critica attivamente sfruttata — aggiornare subito

Il 13 maggio 2026 il team di ricerca di Depthfirst ha reso pubblici i dettagli tecnici di CVE-2026-42945, una vulnerabilità critica nel modulo ngx_http_rewrite_module di NGINX, immediatamente ribattezzata NGINX Rift. Appena tre giorni dopo la divulgazione, i sistemi canary di VulnCheck hanno rilevato tentativi di sfruttamento attivo in the wild. Con oltre 5,7 milioni di istanze NGINX esposte su Internet che eseguono versioni potenzialmente vulnerabili, questo CVE richiede attenzione immediata da parte di tutti gli amministratori di sistema.

Cos’è e come funziona la vulnerabilità

CVE-2026-42945 è una vulnerabilità di memory corruption (heap-based buffer overflow) che risiede nel modulo di riscrittura URL di NGINX. Il problema nasce da un errore nel calcolo del buffer di destinazione quando vengono usate capture non nominati (i riferimenti $1, $2, ecc.) nelle direttive rewrite.

Il bug si manifesta quando sono presenti tutte e tre queste condizioni nella configurazione di NGINX:

1. Una direttiva rewrite con capture non nominati (es. $1, $2)
2. Una stringa di sostituzione che contiene un punto interrogativo (parametri GET)
3. Un’ulteriore direttiva rewrite, if, o set successiva

In questa configurazione, NGINX calcola la dimensione del buffer usando un insieme di assunzioni sull’escape dei caratteri, ma poi scrive nel buffer con assunzioni diverse. Il risultato è una scrittura oltre i limiti del buffer allocato — un classico heap overflow. La cosa particolarmente insidiosa è che i byte scritti oltre il buffer sono determinati dall’URI dell’attaccante, rendendo la corruzione controllabile e quindi molto più pericolosa di un semplice crash casuale.

Esempio di configurazione vulnerabile

Ecco un pattern di configurazione che espone l’istanza NGINX all’exploit:

server {
    listen 80;
    server_name example.com;

    location / {
        # Configurazione VULNERABILE: capture non nominato ($1) + "?" nella sostituzione
        rewrite ^/vecchio/(.*)$ /nuovo/?id=$1 last;
        
        # La presenza di questa seconda direttiva aggrava il problema
        rewrite ^/nuovo/(.*)$ /index.php?path=$1 last;
    }
}

La versione sicura usa capture nominati:

server {
    listen 80;
    server_name example.com;

    location / {
        # Configurazione SICURA: uso di capture nominati
        rewrite ^/vecchio/(?P<slug>.*)$ /nuovo/?id=${slug} last;
        rewrite ^/nuovo/(?P<path>.*)$ /index.php?path=${path} last;
    }
}

Impatto: DoS garantito, RCE possibile

L’impatto della vulnerabilità dipende dalla configurazione del sistema operativo:

• Denial of Service (DoS): ottenibile su qualsiasi configurazione NGINX vulnerabile. Richieste HTTP ripetute mantengono i worker process in un crash loop, degradando la disponibilità di tutti i virtual host serviti dall’istanza.
• Remote Code Execution (RCE): teoricamente possibile, ma richiede che l’Address Space Layout Randomization (ASLR) sia disabilitata sul server target. Su sistemi Linux moderni con ASLR abilitata (la configurazione predefinita), il RCE è significativamente più difficile da ottenere.

Il proof-of-concept pubblico rilasciato da Depthfirst dimostra il DoS in modo affidabile e ripetibile.

Versioni affette

La vulnerabilità colpisce:

• NGINX Open Source: versioni dalla 0.6.27 alla 1.30.0 inclusa
• NGINX Plus: versioni dalla R32 alla R36
• Prodotti F5 che incorporano NGINX: NGINX Ingress Controller, F5 WAF for NGINX, F5 DoS for NGINX e altri

Come verificare la propria esposizione

Prima di aggiornare, è utile capire se la propria configurazione è effettivamente sfruttabile. Non basta avere una versione vulnerabile: è necessario che sia presente il pattern di configurazione critico.

Cerca nelle tue configurazioni il pattern problematico:

# Cerca direttive rewrite con $1, $2, ecc. seguite da "?"
grep -rn 'rewrite.*\$[0-9].*?' /etc/nginx/

# Verifica la versione installata
nginx -v

Su sistemi Debian/Ubuntu puoi controllare se il pacchetto è già stato aggiornato:

apt-cache policy nginx
apt-cache policy nginx-full

Patch e mitigazioni disponibili

F5 ha già rilasciato le versioni corrette:

• NGINX Open Source 1.31.0 (versione mainline) e 1.30.1 (versione stable)
• NGINX Plus R36 P4 e R32 P6
• F5 WAF for NGINX v5.13.0
• F5 DoS for NGINX v4.9.0

Le principali distribuzioni Linux stanno rilasciando pacchetti aggiornati:

# Debian/Ubuntu
sudo apt update && sudo apt upgrade nginx

# AlmaLinux/RHEL/CentOS
sudo dnf update nginx

# Verifica la versione dopo l'aggiornamento
nginx -v && nginx -t

Se non è possibile aggiornare immediatamente, la mitigazione ufficiale di F5 consiste nel convertire tutti i capture non nominati in capture nominati nelle direttive rewrite, come mostrato nell’esempio di configurazione sicura sopra.

Considerazioni operative

Alcuni aspetti pratici da tenere a mente durante la risposta a questo incidente:

L’aggiornamento di NGINX su sistemi in produzione richiede tipicamente un graceful reload (nginx -s reload) che non interrompe le connessioni esistenti. Tuttavia, se si installa una nuova versione del pacchetto, potrebbe essere necessario un riavvio del processo:

# Reload della configurazione (zero-downtime)
nginx -s reload

# Oppure tramite systemd
systemctl reload nginx

# Riavvio completo (se necessario dopo aggiornamento del binario)
systemctl restart nginx

Per ambienti containerizzati con NGINX come base image, è necessario ricostruire e ridistribuire i container aggiornando la versione base dell’immagine. Se si usa NGINX Ingress Controller su Kubernetes, aggiornare il deployment del controller.

Conclusione

CVE-2026-42945 è una vulnerabilità seria che merita risposta rapida. Sebbene non tutte le istanze NGINX siano sfruttabili (dipende dalla configurazione delle direttive rewrite), il DoS è ottenibile su qualsiasi sistema vulnerabile con il pattern critico e lo sfruttamento attivo è già confermato. La patch è disponibile, la migrazione alla versione 1.30.1 o 1.31.0 è il percorso consigliato. In alternativa, la conversione ai capture nominati nelle configurazioni rewrite offre una mitigazione efficace nell’immediato.

Fonti: Help Net Security, Depthfirst Security Research, F5 Security Advisory K000161019, VulnCheck

Attackers are exploiting critical NGINX vulnerability (CVE-2026-42945) - Help Net Security

A critical NGINX vulnerability (CVE-2026-42945) that was disclosed last week is being exploited by attackers, according to VulnCheck.

^{Zeljka Zorz (Help Net Security)}

Spcnet.it

2026-06-03 13:38:15

Linux Network Bonding: configurare la ridondanza e il bilanciamento del carico delle interfacce di rete

Cos’è il Network Bonding su Linux?

Il network bonding (detto anche NIC bonding, link aggregation o NIC teaming) è una tecnica che consente di unire due o più interfacce di rete fisiche in un’unica interfaccia logica. Il risultato? Maggiore larghezza di banda, ridondanza contro i guasti, o entrambi — a seconda della modalità scelta.

Il kernel Linux gestisce tutto questo tramite il modulo bonding, disponibile di default in quasi tutte le distribuzioni moderne. L’interfaccia bond appare al sistema operativo e alle applicazioni come una singola NIC: tutto il traffico la attraversa in modo trasparente.

Importante: il bonding non è la stessa cosa del bridging. Un bridge connette segmenti di rete separati; il bonding aggrega più interfacce in una sola. Scopo diverso, configurazione diversa. Inoltre, le interfacce Wi-Fi generalmente non sono compatibili con il bonding — i driver wireless non supportano la modalità promiscua e la manipolazione dei MAC address che il bonding richiede. Usate esclusivamente NIC Ethernet cablate.

Le 7 modalità di bonding

La scelta della modalità è la decisione più importante nell’intera configurazione. Ecco una panoramica pratica:

Mode 0 — Round-Robin (balance-rr)

I pacchetti vengono trasmessi in sequenza su tutte le interfacce. Offre bilanciamento del carico e tolleranza ai guasti, ma richiede una configurazione di static link aggregation sullo switch. Senza di essa si verificano pacchetti fuori sequenza e prestazioni scadenti.

Mode 1 — Active-Backup

Una sola interfaccia è attiva alla volta. Se quella attiva cade, subentra immediatamente una di riserva. Non richiede configurazione sullo switch: è la modalità più sicura e compatibile. Usatela se il vostro obiettivo è la pura ridondanza.

Mode 4 — 802.3ad (LACP)

Link Aggregation dinamica secondo lo standard IEEE 802.3ad. Richiede uno switch gestito con LACP abilitato. È la modalità più usata in ambienti enterprise: se il vostro switch lo supporta, questa è la scelta per la produzione.

Mode 6 — Balance-ALB

Bilancia sia il traffico in uscita sia quello in entrata tramite negoziazione ARP. Non richiede configurazione sullo switch: ottima scelta per home lab o server senza switch gestiti.

Per home lab senza switch gestito: Mode 1 (failover) o Mode 6 (load balancing). Per server di produzione con switch gestito: Mode 4 (LACP).

Prerequisiti

Prima di iniziare, verificate di avere:

• Due o più NIC fisiche (o virtuali, in una VM)
• Accesso root o sudo
• Il modulo bonding del kernel (incluso nella maggior parte delle distribuzioni)

Verificate che il modulo sia disponibile:

modinfo bonding

Caricatelo immediatamente se necessario:

sudo modprobe bonding

Identificate le vostre interfacce prima di toccare qualsiasi configurazione:

ip link show

Sui sistemi moderni vedrete nomi come enp3s0, enp4s0 oppure eth0, eth1. Annotateli.

Metodo 1: NetworkManager con nmcli (desktop e server moderni)

Se usate Ubuntu, Fedora, Debian con NetworkManager o qualsiasi distribuzione desktop, questo è l’approccio più diretto. NetworkManager supporta il bonding in modo nativo da anni.

Creare prima l’interfaccia bond:

sudo nmcli con add type bond con-name bond0 ifname bond0 bond.options "mode=active-backup,miimon=100"

Aggiungere le interfacce fisiche come slave del bond:

sudo nmcli con add type ethernet slave-type bond con-name bond0-slave1 ifname enp3s0 master bond0
sudo nmcli con add type ethernet slave-type bond con-name bond0-slave2 ifname enp4s0 master bond0

Assegnare un indirizzo IP statico al bond:

sudo nmcli con modify bond0 ipv4.addresses 192.168.1.100/24 ipv4.gateway 192.168.1.1 ipv4.dns 1.1.1.1 ipv4.method manual

Oppure usare DHCP:

sudo nmcli con modify bond0 ipv4.method auto

Attivare la connessione:

sudo nmcli con up bond0

Verificare che il bond funzioni:

cat /proc/net/bonding/bond0

L’output mostrerà l’interfaccia slave attiva, lo stato MII, velocità e duplex di ogni NIC. Questo file è il vostro migliore alleato per il troubleshooting.

Metodo 2: systemd-networkd (server e installazioni minimali)

Per server senza NetworkManager, systemd-networkd gestisce il bonding in modo pulito. Adatto a Ubuntu Server, Debian minimale e configurazioni snelle.

Creare il file netdev per il bond:

sudo nano /etc/systemd/network/10-bond0.netdev

[NetDev]
Name=bond0
Kind=bond

[Bond]
Mode=active-backup
MIIMonitorSec=100ms
UpDelaySec=200ms
DownDelaySec=200ms

Configurare la rete per l’interfaccia bond:

sudo nano /etc/systemd/network/20-bond0.network

[Match]
Name=bond0

[Network]
DHCP=yes

Creare un file per ogni interfaccia slave (uno per NIC):

sudo nano /etc/systemd/network/30-bond0-slave1.network

[Match]
Name=enp3s0

[Network]
Bond=bond0

Riavviare il servizio e verificare:

sudo systemctl restart systemd-networkd
cat /proc/net/bonding/bond0

Metodo 3: Netplan (Ubuntu Server 18.04+)

Ubuntu Server usa Netplan come layer di configurazione di rete predefinito. Modificate il file di configurazione (di solito /etc/netplan/01-netcfg.yaml):

network:
  version: 2
  renderer: networkd
  ethernets:
    enp3s0:
      dhcp4: no
    enp4s0:
      dhcp4: no
  bonds:
    bond0:
      interfaces:
        - enp3s0
        - enp4s0
      addresses:
        - 192.168.1.100/24
      routes:
        - to: default
          via: 192.168.1.1
      nameservers:
        addresses:
          - 1.1.1.1
      parameters:
        mode: active-backup
        mii-monitor-interval: 100
        primary: enp3s0

Applicare la configurazione:

sudo netplan apply

Consiglio: su macchine remote, usate sudo netplan try prima di applicare definitivamente. Il comando applica la configurazione temporaneamente e la ripristina automaticamente dopo 120 secondi se non viene confermata — una rete di sicurezza preziosa.

Test del failover

Una volta configurato il bond, testate che il failover funzioni davvero. Con il bond attivo, simulate il guasto di una NIC scollegando fisicamente il cavo o disabilitando l’interfaccia via software:

sudo ip link set enp3s0 down

Il traffico dovrebbe continuare a fluire sull’interfaccia secondaria senza interruzioni percepibili. Verificate:

cat /proc/net/bonding/bond0

Il campo Currently Active Slave mostrerà la NIC di backup ora attiva.

Comandi utili per il monitoraggio

# Stato dettagliato del bond
cat /proc/net/bonding/bond0

# Statistiche di traffico per interfaccia
ip -s link show bond0

# Link failure count per slave
grep -A2 "Slave Interface" /proc/net/bonding/bond0

Problemi comuni e soluzioni

L’interfaccia bond non ha IP dopo il reboot: verificate che le connessioni NetworkManager siano impostate su autoconnect, oppure che i file systemd-networkd siano nel percorso corretto (/etc/systemd/network/).

Un solo slave risulta attivo anche in modalità round-robin o LACP: lo switch non è configurato correttamente per il LAG. Controllate la configurazione delle porte sullo switch.

I ping drop durano più del previsto durante il failover: aumentate il valore di UpDelaySec/DownDelaySec — un valore troppo basso può causare flapping. Valori tipici: 200ms per il down, 0ms per l’up.

Conclusione

Il network bonding su Linux è una soluzione matura, stabile e sorprendentemente semplice da configurare su distribuzioni moderne. Che vogliate ridondanza per un server critico o maggiore throughput per trasferimenti locali, i tre metodi descritti — nmcli, systemd-networkd e Netplan — coprono la quasi totalità degli scenari reali. Iniziate con Mode 1 (active-backup) se siete alle prime armi: non richiede switch gestito ed entra in produzione in pochi minuti.

Fonte: Linux Network Bonding: Combine Network Interfaces — LinuxBlog.io

Linux Network Bonding: Combine Network Interfaces | LinuxBlog.io

Two network interfaces are better than one. With Linux network bonding (also known as NIC bonding or link aggregation), you can combine multiple NICs into

^{Hayden James (LinuxBlog.io)}

(in)sicurezza digitale

2026-06-03 12:48:12

DriveSurge e il sistema zTDS: migliaia di siti dirottati per distribuire ClickFix e FakeUpdates su Windows e macOS

Si parla di:
Toggle

Un gruppo di cybercriminali tracciato come DriveSurge ha costruito un’infrastruttura di distribuzione malware su scala industriale, dirottando migliaia di siti web legittimi per veicolare campagne ClickFix e FakeUpdates. Dietro l’operazione si cela il sistema di distribuzione del traffico zTDS, che seleziona dinamicamente la trappola più efficace per ciascuna vittima. Il target: qualunque utente Windows o macOS che visiti un sito compromesso.

Chi è DriveSurge e cosa fa zTDS

DriveSurge è un threat actor di tipo malware-as-a-service specializzato nella distribuzione massiva di payload attraverso siti web compromessi. La sua infrastruttura operativa si regge sul Traffic Distribution System zTDS, un sistema sofisticato che analizza i visitatori in tempo reale — sistema operativo, geolocalizzazione, browser, orario di accesso — e li reindirizza verso la trappola ottimale, scelta tra due filoni principali: ClickFix o FakeUpdates.

I ricercatori di SilentPush hanno documentato la campagna, rilevando che DriveSurge gestisce attivamente una rete di traffic broker che monetizzano il traffico dai siti compromessi indirizzandolo verso le campagne di distribuzione. Si tratta di un modello di business criminale consolidato: chi compromette i siti raccoglie il traffico e lo vende; DriveSurge compra quel traffico e lo converte in infezioni.

ClickFix: il trucco psicologico che bypassa l’antivirus

La tecnica ClickFix si basa su un principio di social engineering brutalmente efficace: mostrare all’utente un messaggio di errore fasullo — tipicamente un avviso del browser o di un’applicazione — che invita a “risolvere il problema” incollando ed eseguendo manualmente un comando nella console PowerShell o nel terminale.

Il vantaggio per gli attaccanti è che l’utente diventa il vettore di infezione: non serve exploit, non serve privilege escalation — è la vittima stessa a lanciare il payload con i propri privilegi. Il comando incollato è solitamente una lunga stringa offuscata che scarica ed esegue il malware direttamente dalla memoria, senza scrivere file su disco che possano essere rilevati dall’antivirus.

Nella versione DriveSurge, i lure ClickFix impersonano avvisi di Google Chrome, Microsoft Edge o applicazioni enterprise, con messaggi localizzati nella lingua del visitatore. Il comando finale tipicamente esegue uno script PowerShell che:

• Scarica un payload cifrato da un dominio compromesso o da un CDN legittimo abusato
• Lo decifra in memoria ed esegue il dropper
• Installa un infostealer (Lumma Stealer, Vidar, o varianti custom) o un RAT
• Aggiunge persistenza tramite scheduled task o chiavi di registro

FakeUpdates: il classico che non tramonta

Il secondo filone, FakeUpdates (noto anche come SocGholish), simula un prompt di aggiornamento del browser: una pagina sovrapposta al sito legittimo mostra un finto avviso di aggiornamento critico per Chrome, Firefox o Edge, invitando a scaricare un file .zip o .js che contiene il dropper.

La novità documentata da SilentPush nella campagna DriveSurge è l’estensione a macOS: oltre ai target Windows classici, il sistema zTDS identifica i visitatori Apple e li reindirizza verso una variante della campagna che distribuisce script JavaScript malevoli ottimizzati per l’ecosistema macOS, scaricando payload .dmg o .pkg firmati con certificati sviluppatore ottenuti fraudolentemente.

Infrastruttura e scala dell’operazione

La campagna sfrutta migliaia di siti web WordPress, Joomla e Magento compromessi come stager di primo livello: il codice iniettato nel sito vittima è minimo e difficile da rilevare — spesso poche righe di JavaScript offuscato aggiunte a file tema o plugin — che si limita a interrogare l’infrastruttura zTDS per decidere se mostrare o meno il lure al visitatore.

Questa architettura “many-to-one” offre a DriveSurge una resilienza elevata: anche se decine di siti vengono ripuliti, l’infrastruttura centrale rimane intatta e la campagna continua su altri domini. Il sistema zTDS applica anche un meccanismo di frequency capping: lo stesso indirizzo IP non riceve il lure più di una volta in una finestra temporale definita, riducendo il rischio che ricercatori di sicurezza o sistemi automatizzati di crawling identifichino i siti compromessi.

Implicazioni per i difensori

La campagna DriveSurge richiede un approccio difensivo stratificato, poiché aggira molti controlli tradizionali:

• Blocco delle esecuzioni PowerShell da clipboard: configurare Windows Defender Application Control (WDAC) o AppLocker per limitare l’esecuzione di PowerShell non firmato lanciato interattivamente riduce drasticamente l’efficacia di ClickFix.
• Proxy DNS con blocco dei redirect sospetti: i sistemi zTDS usano catene di redirect multi-hop; una soluzione DNS filtering (Cisco Umbrella, Cloudflare Gateway) che blocchi i redirect a dominio nuovo può interrompere la catena prima che la vittima veda il lure.
• Awareness degli utenti: il vettore ClickFix è efficace perché convincente — investire in training specifico su “nessun sito legittimo ti chiede mai di aprire PowerShell e incollare comandi” ha un ROI alto.
• Monitoraggio dei processi figli di browser: un browser che lancia powershell.exe, cmd.exe o wscript.exe come processo figlio è un segnale forte di ClickFix in esecuzione — aggiungere questa detection nelle regole EDR.
• Hardening dei CMS: verificare regolarmente l’integrità dei file JavaScript dei propri siti WordPress/Joomla/Magento — i propri siti potrebbero essere già usati come stager di DriveSurge a insaputa degli amministratori.

DriveSurge dimostra che ClickFix e FakeUpdates non sono tecniche in declino: l’adozione di un TDS sofisticato come zTDS e l’espansione a macOS segnalano un investimento operativo continuo e una struttura criminale in crescita. La semplicità del vettore — fare in modo che sia l’utente a eseguire il malware — lo rende uno degli attacchi più difficili da bloccare con soli controlli tecnici.

(in)sicurezza digitale

2026-06-03 12:47:05

Gamaredon sfrutta CVE-2025-8088 in WinRAR per distribuire GammaWorm e GammaSteel contro l’Ucraina

Si parla di:
Toggle

Il gruppo russo Gamaredon, legato all’FSB (Federalnaya Sluzhba Bezopasnosti), ha intensificato le sue operazioni contro l’Ucraina sfruttando una vulnerabilità recentemente scoperta in WinRAR per distribuire una sofisticata catena di malware multi-stadio. La campagna, osservata dai ricercatori di Sekoia nel gennaio 2026, utilizza una sequenza di payload denominati GammaPhish, GammaLoad, GammaWorm e GammaSteel — strumenti progettati per persistenza a lungo termine, propagazione laterale e esfiltrazione massiva di dati sensibili.

La vulnerabilità sfruttata: CVE-2025-8088

Il vettore iniziale di compromissione è la CVE-2025-8088, un path traversal flaw in WinRAR che consente l’estrazione di file in percorsi arbitrari del filesystem, incluse directory di avvio e cartelle di sistema. L’exploit si concretizza attraverso archivi RAR appositamente costruiti che, all’apertura, rilasciano silenziosamente un file HTA (HTML Application) denominato GammaPhish. La scelta di WinRAR come vettore non è casuale: il software è praticamente onnipresente negli ambienti governativi e militari ucraini, e Gamaredon ha già in passato sfruttato archivi RAR malevoli come vettore principale delle proprie campagne di spear-phishing.

La catena d’infezione: da GammaPhish a GammaSteel

Una volta eseguito, GammaPhish lancia GammaLoad, un downloader scritto in VBScript con tre funzioni primarie: fingerprinting del sistema host, aggiornamento della configurazione di rete nel registro di Windows tramite dead drop resolver (DDR), e recupero ed esecuzione di payload VBScript aggiuntivi dai server C2 dell’attaccante.

Da GammaLoad si biforcano i principali payload operativi. Il primo è GammaWorm, un worm VBScript progettato per garantire persistenza e propagazione laterale: stabilisce scheduled task come meccanismo di persistenza, poi individua le condivisioni di rete e i drive USB connessi al sistema infetto, ne nasconde le directory legittime e le sostituisce con file LNK (Windows Shortcut) malevoli. Quando una vittima nella rete clicca su uno di questi shortcut, viene scaricato ed eseguito codice arbitrario dal C2. Per risolvere l’indirizzo del server di comando, GammaWorm effettua una GET request tramite curl verso un canale Telegram pubblico hard-coded, sfruttando la legittimità della piattaforma per evadere i controlli di rete. I moduli core del worm vengono nascosti tramite NTFS Alternate Data Streams (ADS), rendendoli invisibili ai tool standard di ispezione del filesystem.

Il secondo payload principale è GammaSteel, un infostealer modulare che cattura file corrispondenti a specifiche estensioni (documenti Office, PDF, archivi, configurazioni) ed esfiltrate verso un bucket Amazon Web Services S3 controllato dagli attaccanti, con un server di fallback alternativo. La flessibilità dell’architettura permette anche la distribuzione di GammaWipe (GamaWiper), un componente distruttivo attivabile selettivamente a seconda degli obiettivi operativi.

Chi è Gamaredon e perché rappresenta una minaccia persistente

Gamaredon (noto anche come Primitive Bear, ACTINIUM, Armageddon, UAC-0010) è un APT attribuito ufficialmente all’FSB russo, specificamente al suo Centro 18 operante dalla Crimea. Attivo dal 2013, il gruppo si concentra quasi esclusivamente su target ucraini — enti governativi, militari, forze dell’ordine, organizzazioni del settore energetico — con campagne quasi ininterrotte che combinano spear-phishing tramite allegati RAR malevoli, malware custom VBScript e PowerShell, e tecniche di living-off-the-land. A differenza di gruppi più furtivi come APT29 o Turla, Gamaredon privilegia volume e persistenza, aggiornando costantemente i propri tool per sfuggire al rilevamento. L’analisi di Sekoia descrive questa architettura come “resiliente, massiva e altamente offuscata”: la capacità di aggiornare le configurazioni on the fly tramite Telegram DDR rende estremamente difficile bloccare le comunicazioni C2.

Campagne parallele: il fronte ucraino sotto attacco multiplo

La campagna Gamaredon si inserisce in un panorama di minacce concorrenti. UAC-0184 continua a colpire obiettivi militari ucraini con lure LNK che distribuiscono PassMark BurnInTest come carrier per payload malevoli. UAC-0247 (ex UAC-0244) ha preso di mira gli operatori di droni FPV, distribuendo dropper HTA via archivi ZIP con backdoor a reverse shell. Separatamente, ricercatori di ExaTrack hanno documentato l’evoluzione di PixyNetLoader, attribuito ad APT28, che sfrutta CVE-2026-21509 su Microsoft Office per rilasciare un implant COVENANT Grunt — varianti rilevate fino al 15 aprile 2026.

Due righe per i difensori

• Patching immediato di WinRAR all’ultima versione disponibile (CVE-2025-8088 è patchata)
• Blocco esecuzione HTA tramite Group Policy Object (GPO) e regole AppLocker
• Restrizione VBScript: disabilitare wscript.exe e cscript.exe dove non necessario
• Monitoraggio NTFS ADS su endpoint critici con Sysmon EventID 15
• Regole SIEM/YARA per curl verso endpoint Telegram in contesti non aziendali
• Blocco in uscita verso bucket AWS S3 sconosciuti e monitoraggio DNS per endpoint Telegram anomali
• Segmentazione USB: policy di blocco o controllo accessi ai supporti rimovibili

Indicatori di compromissione (IoC)

## Tecniche MITRE ATT&CK
T1566.001 – Spearphishing Attachment (archivi RAR malevoli)
T1204.002 – User Execution: Malicious File (GammaPhish HTA)
T1059.005 – Command and Scripting Interpreter: VBScript (GammaLoad/GammaWorm)
T1053.005 – Scheduled Task/Job (GammaWorm persistence)
T1091    – Replication Through Removable Media (GammaWorm USB spread)
T1027    – Obfuscated Files/Information: NTFS Alternate Data Streams
T1102.001 – Web Service: Dead Drop Resolver (Telegram per risoluzione C2)
T1041    – Exfiltration Over C2 Channel (GammaSteel → AWS S3)
T1485    – Data Destruction (GammaWipe, attivato selettivamente)

## Vulnerabilità sfruttata
CVE-2025-8088 – WinRAR path traversal
Soluzione: aggiornare WinRAR all'ultima versione

## Infrastruttura C2
- Canali Telegram pubblici (hard-coded nei sample GammaWorm per DDR)
- Bucket AWS S3 attaccante-controllati (esfiltrazione GammaSteel)
- Server fallback attaccante-controllati

## Fonte primaria della ricerca
Sekoia – FSBS Matryoshka 1.3:
https://blog.sekoia.io/fsbs-matryoshka-1-3-gamaredons-gifts-that-keeps-unpacking-gammaphish-and-gammaworm/

(in)sicurezza digitale

2026-06-03 13:05:28

Ciao Carola

Ci sono notizie che arrivano come un pugno nello stomaco.

Quella della morte di Carola Frediani è una di quelle.

Per chi vive e lavora nel mondo della cybersecurity italiana, Carola non era semplicemente una giornalista. Era una presenza costante. Una delle poche persone capaci di osservare il nostro settore con lucidità, spirito critico e una rara capacità di distinguere il rumore dai fatti.

In un’epoca in cui tutto deve essere urgente, allarmistico e spettacolare, Carola aveva scelto una strada diversa: quella della comprensione.

Leggevo con attenzione la sua newsletter, seguivo i suoi articoli, i suoi approfondimenti, il suo modo di raccontare la tecnologia e la sicurezza informatica senza mai cedere alla superficialità. Riusciva a parlare tanto agli addetti ai lavori quanto a chi si avvicinava per la prima volta a questi temi, senza mai banalizzare la complessità.

Ricordo ancora con orgoglio una circostanza che mi aveva particolarmente colpito: quando citò un articolo pubblicato sul mio blog all’interno di uno dei suoi approfondimenti (la newsletter Guerre di rete sul caso SIAE) dedicati a un caso nazionale. Un gesto probabilmente normale per chi fa giornalismo con serietà, ma che per me rappresentò un riconoscimento importante. Non tanto perché proveniva da una figura autorevole del settore, quanto perché arrivava da una persona che aveva costruito la propria credibilità sulla competenza e sull’onestà intellettuale.

Negli anni, Carola è stata una delle voci che hanno contribuito a definire il dibattito italiano sulla sorveglianza digitale, sul cybercrime, sulla sicurezza delle infrastrutture, sui diritti digitali e sulle implicazioni sociali delle tecnologie che utilizziamo ogni giorno.

Ha insegnato a molti di noi che la cybersecurity non riguarda soltanto malware, ransomware e vulnerabilità. Riguarda soprattutto persone. Riguarda libertà, informazione, potere e responsabilità.

Forse è proprio questo che rende oggi così difficile accettare questa notizia.

Perché quando scompare una persona come Carola, non perdiamo soltanto una professionista. Perdiamo una voce autorevole, indipendente e profondamente necessaria.

In un settore che spesso premia chi urla più forte, lei ha dimostrato che si può lasciare un segno anche parlando con calma, documentandosi con rigore e mantenendo sempre uno sguardo umano sulle storie che raccontava.

Oggi la comunità italiana della cybersecurity è un po’ più povera.

E molti di noi si sentono improvvisamente più soli.

Grazie, Carola, per tutto quello che hai scritto, spiegato e raccontato.

Grazie per aver contribuito a costruire una cultura della sicurezza informatica più matura, più consapevole e più umana.

Ci mancherai.

Guerre di Rete - Dell'attacco a SIAE

Facebook tra metaversi, nomi e liste. Guerra ai ransomware. Disinfo statale.

^{Carola Frediani (Guerre di Rete)}