La settimana scorsa, i ricercatori hanno segnalato il piĂą recente strumento famigerato del gruppo APT Lazarus, che è stato utilizzato negli attacchi del gruppo dalla primavera del 2018. Il loro nuovo ‘giocattolo’ è stato chiamato MATA, è un framework modulare cross-platform con diversi componenti tra cui un loader, un orchestratore e diversi plugin che possono […]
Regole per il Threat Hunting: Golden Chickens MaaS
Come sapete, il Malware-as-a-Service (MaaS) è un business che è giĂ diventato comune e opera sui forum clandestini e mercati neri offrendo una gamma di servizi. I primi attacchi che utilizzavano il MaaS di Golden Chickens sono iniziati nel 2017, e il gruppo Cobalt è stato tra i loro primi “clienti”. Il successo di questo […]
Contenuto di Rilevamento: Backdoor RDAT
La scorsa settimana, i ricercatori hanno pubblicato dettagli sugli attacchi mirati alle telecomunicazioni del Medio Oriente effettuati da APT34 (alias OilRig e Helix Kitten), e strumenti aggiornati nell’arsenale di questo gruppo. Naturalmente, i partecipanti al Threat Bounty Program non sono rimasti indifferenti e hanno pubblicato un paio di regole per rilevare il RDAT Backdoor, ma […]
Contenuto di Caccia alle Minacce: Emotet Ritorna Ancora una Volta
Mai fu storia piĂą dolorosa di questa di Emotet che ritorna ancora una volta. Questa volta, non ci sono state campagne su larga scala per circa sette mesi, anche se sono stati registrati casi isolati di infezione e i ricercatori hanno trovato documenti che distribuivano questo malware. Gli attacchi sono ripresi lo scorso venerdì, con […]
CVE-2020-3452: Lettura di file non autenticata in Cisco ASA e rilevamento Cisco Firepower
Ancora una volta, usciamo dal solito programma di pubblicazione a causa dell’emergere di un exploit per la vulnerabilitĂ critica CVE-2020-3452 in Cisco ASA & Cisco Firepower, così come l’emergere di regole per rilevare lo sfruttamento di questa vulnerabilitĂ . CVE-2020-3452 – un altro mal di testa a luglio CVE-2020-3452 è stata scoperta alla fine dell’anno scorso, […]
Contenuto di Rilevamento: Formbook Diffuso Tramite PDF Falso (Comportamento Sysmon)
L’epidemia di Covid19 ha rivelato diverse lacune nella cybersecurity. Facciamo del nostro meglio per tenervi aggiornati sulle ultime tendenze tramite i nostri Weekly Talks, webinar, Digests di contenuti rilevanti. Tuttavia, la curiositĂ umana nel flusso di informazioni potrebbe rappresentare un punto debole. FormBook, il ladro di informazioni noto dal 2016, è stato distribuito attivamente tramite […]
Contenuto di Caccia alle Minacce: Crash di DNS.exe (Possibile rilevamento CVE-2020-1350)
Luglio si è rivelato fruttuoso per quanto riguarda le vulnerabilitĂ critiche divulgate: CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewall), e CVE-2020-1350 (aka SIGRed, la vulnerabilitĂ nel server DNS di Microsoft Windows). La settimana scorsa, i contributori del Threat Bounty Program e il […]
Contenuto di Rilevamento: Trojan Hancitor
Il post di oggi riguarda le nuove versioni del trojan Hancitor e un paio di regole rilasciate dal Programma di ricompensa per minacce partecipanti che consentono alle soluzioni di sicurezza di rilevarli. Trojan Hancitor (Tecnica di Evasione) regola della comunitĂ di Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 Infezione Hancitor con Ursnif regola esclusiva di Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ Questo […]
Sintesi Regole: CobaltStrike, APT10 e APT41
Siamo lieti di presentarvi il consueto Rule Digest, che consiste di regole sviluppate esclusivamente dal SOC Prime Team. Si tratta di una sorta di selezione tematica, poichĂ© tutte queste regole aiutano a individuare attivitĂ malevole di gruppi APT collegati al governo cinese e lo strumento CobaltStrike spesso utilizzato da questi gruppi in campagne di spionaggio […]
Contenuto di Rilevamento: Comportamento di GoldenHelper
Questa settimana non evidenzieremo alcuna regola nella sezione “Regola della Settimana”, perchĂ© le regole piĂą calde sono giĂ state pubblicate nello speciale di ieri digest speciale dedicato alle regole che rilevano lo sfruttamento di una vulnerabilitĂ critica nei server DNS di Windows, CVE-2020-1350 (conosciuta anche come SIGRed). La pubblicazione di oggi è dedicata al rilevamento […]