Il gruppo APT Lazarus è uno dei pochi gruppi di spionaggio cibernetico sponsorizzati dallo stato che si occupa anche di crimini informatici a scopo di lucro ed è l’attore di minacce più redditizio nella scena delle criptovalute, riuscendo a rubare circa 2 miliardi di dollari. Nel solo 2017, il gruppo ha rubato più di mezzo […]
APT Tribù Trasparente
Transparent Tribe (alias PROJECTM e MYTHIC LEOPARD) è un’unità di cyber spionaggio collegata al governo pakistano ed è attiva almeno dal 2013. Il gruppo è stato piuttosto attivo negli ultimi quattro anni indirizzando soprattutto il personale militare e governativo indiano, ma durante l’ultimo anno hanno attaccato sempre più obiettivi in Afghanistan e le loro attività […]
BLINDINGCAN RAT
Alla fine della scorsa settimana, Ariel Millahuel ha rilasciato una regola di caccia alle minacce della community per rilevare il Trojan di Accesso Remoto BLINDINGCAN utilizzato dagli hacker sponsorizzati dallo stato nordcoreano: https://tdm.socprime.com/tdm/info/pi0B7x1SzQlU/FiBkEHQBSh4W_EKGcibk/?p=1 La regola è basata su un rapporto di analisi del malware recentemente pubblicato dagli esperti di CISA. L’attore della minaccia ha usato […]
Regole per la Caccia alle Minacce: Infostealer PurpleWave
Un altro Infostealer con funzioni di backdoor è stato scoperto a fine luglio. Gli autori del malware lo pubblicizzano sui forum di cibercriminalità russi e vendono varie modifiche dell’utilità a un prezzo accessibile. Il nuovo Infostealer è scritto in C++ ed è stato soprannominato PurpleWave dai suoi autori. Il malware può eseguire una serie di […]
Contenuto di Rilevamento: Malware Drovorub
La scorsa settimana, l’FBI e la NSA hanno rilasciato un allerta di sicurezza congiunta contenente dettagli sul malware Drovorub, un nuovo strumento nelle mani di APT28. Questo è un malware Linux utilizzato per impiantare backdoor nelle reti compromesse. Il malware è un sistema multi-componente che consiste in un rootkit del modulo kernel, un impianto, un […]
Regole di Threat Hunting: Possibile Connessione C2 tramite DoH
È passato un anno da quando il primo malware ha timidamente sfruttato DNS-over-HTTPS (DoH) per recuperare gli IP per l’infrastruttura di comando e controllo. I ricercatori di sicurezza avevano già avvertito che questo poteva essere un problema serio e hanno iniziato a cercare una soluzione che aiutasse a rilevare tale traffico malevolo. Sempre più più […]
Contenuto di Rilevazione: Trojan Bancario Mekotio
Mekotio è un altro trojan bancario dell’America Latina che è mirato principalmente a utenti in Brasile, Messico, Spagna, Cile, Perù e Portogallo. Questo è un malware persistente distribuito tramite email di phishing e assicura la persistenza sia creando un file LNK nella cartella di avvio sia utilizzando una chiave Run. È capace di rubare criptovaluta […]
Regole di Caccia alle Minacce: Comportamento del Gruppo Gamaredon
Il gruppo Gamaredon è apparso nel 2013 e inizialmente non utilizzava malware personalizzati, ma nel tempo ha sviluppato una serie di strumenti di cyber spionaggio, tra cui Pterodo e EvilGnome malware. Negli ultimi mesi, il gruppo è stato attivamente inviando email di phishing con documenti contenenti macro malevole che scaricano una moltitudine di varianti di […]
Rilevamento dello sfruttamento di CVE-2020-17506 e CVE-2020-17505 (Artica Proxy)
Con il post di oggi, vogliamo informarvi su diverse vulnerabilità recentemente scoperte in Artica Proxy, un sistema che consente agli utenti con competenze tecniche di base di gestire un server proxy in modalità trasparente, oltre alla connessione a AD e OpenLDAP, versione 4.30. La vulnerabilità appena segnalata CVE-2020-17506 di Artica Proxy consente agli hacker di […]
Contenuto di Rilevamento: sfruttamento di CVE-2019-16759 con nuovo metodo
Oggi vogliamo mettere un avviso sulla vulnerabilità CVE-2019-16759 in vBulletin, il software forum più ampiamente utilizzato, osservato per la versione 5 e successive. La vulnerabilità offre agli hacker l’opportunità di eseguire comandi remoti tramite il parametro widgetConfig[code] in una richiesta HTTP POST e, a seconda dei permessi dell’utente in vBulletin, ottenere il controllo sull’host. La […]