Redazione RHC : 25 Agosto 2025 15:04
Negli ultimi dodici mesi, gli esperti di sicurezza hanno notato un incremento degli attaccanti che utilizzano le funzionalità di pianificazione di Windows, previste per la gestione sistemistica, al fine di stabilizzare la loro presenza all’interno di sistemi già stati violati. All’interno dei processi di Task Scheduler vengono integrati comandi dannosi che si attivano in concomitanza con l’avvio, l’accesso o a intervalli di tempo prestabiliti, permettendo agli aggressori di acquisire un accesso occulto e persistente, in grado di eludere con frequenza i sistemi di rilevamento standard.
A differenza dei rootkit elaborati o degli exploit zero-day, queste tecniche sfruttano le funzionalità integrate del sistema, consentendo agli autori delle minacce di persistere senza dover distribuire file binari aggiuntivi o toolchain complesse. Le infezioni iniziali solitamente si manifestano tramite e-mail di phishing o exploit kit che distribuiscono loader leggeri che diventano rapidamente persistenti.
Dopo aver ultimato l’esecuzione sull’endpoint, i ricercatori di sicurezza hanno rilevato che gli aggressori utilizzano il file binario schtasks.exe o i cmdlet di PowerShell al fine di programmare nuove attività o variare quelle già presenti. Ulteriore complessità nel rilevamento è data dal fatto che queste attività possono utilizzare l’account SYSTEM. In numerosi casi, i team di risposta agli incidenti hanno scoperto attività denominate in modo da imitare servizi Windows legittimi, come “TelemetryUpdater” o “HealthCheck”, ma che puntavano a file eseguibili archiviati in directory non convenzionali in C:ProgramDataSystem.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
I primi campioni erano mirati agli istituti finanziari, mentre le campagne più recenti si sono estese ai settori delle infrastrutture critiche, evidenziando l’ampia applicabilità e i bassi costi operativi dell’abuso delle attività pianificate. Gli analisti di DFIR Spot hanno notato che il malware si affida a trigger come LogonTriggere TimeTrigger, configurati per essere eseguiti ogni cinque minuti o a ogni accesso dell’utente.
Questo approccio consente ai componenti dannosi di integrarsi nelle normali attività del sistema, ritardando l’analisi e la correzione. I payload successivi forniti tramite queste attività spaziano dai binari per il coin mining agli strumenti di amministrazione remota. Una volta registrate, le attività spesso si aggiornano automaticamente richiamando script di PowerShell che estraggono moduli aggiuntivi o modificano gli argomenti della riga di comando.
Poiché i registri di Task Scheduler possono essere cancellati o disabilitati dagli aggressori, molte organizzazioni hanno avuto difficoltà a ricostruire le tempistiche senza la telemetria EDR arricchita. Dopo la creazione, il processo viene eseguito con privilegi di SISTEM, avviando un loader di secondo stadio che contatta un C2 remoto o un repository di payload.
Incorporando l’eseguibile in percorsi non standard e sfruttando in modo improprio le funzionalità di pianificazione native, gli autori delle minacce ottengono la persistenza senza richiedere framework di sfruttamento aggiuntivi. Le strategie di rilevamento devono includere una rigorosa definizione delle attività pianificate legittime, il monitoraggio dei registri TaskScheduler/Operational per l’ID evento 106 (attività registrata) e l’applicazione di policy di audit avanzate per acquisire le voci dell’ID evento 4698.
Combinando questi registri con l’analisi della discendenza dei processi basata su EDR è possibile individuare modelli anomali di creazione di attività che si discostano dalle normali operazioni amministrative.
RedazioneLa campagna su larga scala TamperedChef sta nuovamente attirando l’attenzione degli specialisti, poiché gli aggressori continuano a distribuire malware tramite falsi programmi di installazione di a...
Una vulnerabilità di tipo authentication bypass è stata individuata in Azure Bastion (scoperta da RHC grazie al monitoraggio costante delle CVE critiche presente sul nostro portale), il servizio g...
Microsoft ha reso nota una vulnerabilità critica in SharePoint Online (scoperta da RHC grazie al monitoraggio costante delle CVE critiche presente sul nostro portale), identificata come CVE-2025-5924...
Il Segretario Generale del Garante per la protezione dei dati personali, Angelo Fanizza, ha rassegnato le proprie dimissioni a seguito di una riunione straordinaria tenuta questa mattina nella sala Ro...
Un impiegato si è dichiarato colpevole di aver hackerato la rete del suo ex datore di lavoro e di aver causato danni per quasi 1 milione di dollari dopo essere stato licenziato. Secondo l’accusa, i...
