23/6 Digest roundup: le notizie più rilevanti delle ultime 24 ore
Iniziamo la giornata con la selezione delle notizie più importanti del giorno dal mondo cybersecurity, per ogni titolo il link diretto alla fonte originale, per gli approfondimenti.
EvilConwi: malware firmato distribuito via ConnectWise ScreenConnect
Una campagna di phishing porta le vittime a scaricare installer alterati di ScreenConnect, che includono configurazioni malevole tramite “Authenticode stuffing”. Dal marzo 2025 gli attacchi sono in forte crescita.
Fonte: https://www.gdatasoftware.com/blog/2025/06/38218-connectwise-abuse-malwareConfucius APT rilascia la backdoor modulare “Anondoor”
Il gruppo indiano rafforza le proprie capacità di spionaggio con un framework che scarica payload personalizzati e sfugge ai sandbox tradizionali, recuperando informazioni di sistema e comunicando con un C2 dinamico.
Fonte: https://securityonline.info/confucius-group-evolves-researcher-uncovers-new-modular-backdoor-anondoor-in-latest-espionage-campaign/LapDogs: backdoor “ShortLeash” contro router SOHO obsoleti
Più di 1 000 dispositivi (Ruckus, Buffalo AirStation) compromessi negli USA e in Asia: gli attaccanti ottengono accesso root, installano server Nginx falsi con certificati TLS contraffatti e mantengono una rete di spionaggio persistente, con probabili legami a threat actor cinesi.
Fonte: https://www.helpnetsecurity.com/2025/06/23/lapdogs-shortleash-backdoor-linux-soho-devices/CVE-2025-4322: exploit di massa del tema WordPress “Motors”
Una falla nel processo di recupero password consente di reimpostare le credenziali admin e creare account backdoor; oltre 23 000 tentativi bloccati finora, nonostante la patch del 14 maggio 2025.
Fonte: https://www.bleepingcomputer.com/news/security/wordpress-motors-theme-flaw-mass-exploited-to-hijack-admin-accounts/Amazon EKS: configurazioni errate espongono credenziali AWS
Contenitori sovra-privilegiati e un uso improprio di EKS Pod Identity permettono privilege escalation e movimenti laterali in ambienti cloud, con rischio di accesso non autorizzato ai servizi AWS.
Fonte: https://www.trendmicro.com/en_us/research/25/f/aws-credential-exposure-overprivileged-containers.html
