Come sapete, il Malware-as-a-Service (MaaS) è un business che è già diventato comune e opera sui forum clandestini e mercati neri offrendo una gamma di servizi. I primi attacchi che utilizzavano il MaaS di Golden Chickens sono iniziati nel 2017, e il gruppo Cobalt è stato tra i loro primi “clienti”. Il successo di questo […]
Contenuto di Rilevamento: Backdoor RDAT
La scorsa settimana, i ricercatori hanno pubblicato dettagli sugli attacchi mirati alle telecomunicazioni del Medio Oriente effettuati da APT34 (alias OilRig e Helix Kitten), e strumenti aggiornati nell’arsenale di questo gruppo. Naturalmente, i partecipanti al Threat Bounty Program non sono rimasti indifferenti e hanno pubblicato un paio di regole per rilevare il RDAT Backdoor, ma […]
Contenuto di Caccia alle Minacce: Emotet Ritorna Ancora una Volta
Mai fu storia più dolorosa di questa di Emotet che ritorna ancora una volta. Questa volta, non ci sono state campagne su larga scala per circa sette mesi, anche se sono stati registrati casi isolati di infezione e i ricercatori hanno trovato documenti che distribuivano questo malware. Gli attacchi sono ripresi lo scorso venerdì, con […]
CVE-2020-3452: Lettura di file non autenticata in Cisco ASA e rilevamento Cisco Firepower
Ancora una volta, usciamo dal solito programma di pubblicazione a causa dell’emergere di un exploit per la vulnerabilità critica CVE-2020-3452 in Cisco ASA & Cisco Firepower, così come l’emergere di regole per rilevare lo sfruttamento di questa vulnerabilità . CVE-2020-3452 – un altro mal di testa a luglio CVE-2020-3452 è stata scoperta alla fine dell’anno scorso, […]
Contenuto di Rilevamento: Formbook Diffuso Tramite PDF Falso (Comportamento Sysmon)
L’epidemia di Covid19 ha rivelato diverse lacune nella cybersecurity. Facciamo del nostro meglio per tenervi aggiornati sulle ultime tendenze tramite i nostri Weekly Talks, webinar, Digests di contenuti rilevanti. Tuttavia, la curiosità umana nel flusso di informazioni potrebbe rappresentare un punto debole. FormBook, il ladro di informazioni noto dal 2016, è stato distribuito attivamente tramite […]
Contenuto di Caccia alle Minacce: Crash di DNS.exe (Possibile rilevamento CVE-2020-1350)
Luglio si è rivelato fruttuoso per quanto riguarda le vulnerabilità critiche divulgate: CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewall), e CVE-2020-1350 (aka SIGRed, la vulnerabilità nel server DNS di Microsoft Windows). La settimana scorsa, i contributori del Threat Bounty Program e il […]
Contenuto di Rilevamento: Trojan Hancitor
Il post di oggi riguarda le nuove versioni del trojan Hancitor e un paio di regole rilasciate dal Programma di ricompensa per minacce partecipanti che consentono alle soluzioni di sicurezza di rilevarli. Trojan Hancitor (Tecnica di Evasione) regola della comunità di Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 Infezione Hancitor con Ursnif regola esclusiva di Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ Questo […]
Sintesi Regole: CobaltStrike, APT10 e APT41
Siamo lieti di presentarvi il consueto Rule Digest, che consiste di regole sviluppate esclusivamente dal SOC Prime Team. Si tratta di una sorta di selezione tematica, poiché tutte queste regole aiutano a individuare attività malevole di gruppi APT collegati al governo cinese e lo strumento CobaltStrike spesso utilizzato da questi gruppi in campagne di spionaggio […]
Contenuto di Rilevamento: Comportamento di GoldenHelper
Questa settimana non evidenzieremo alcuna regola nella sezione “Regola della Settimana”, perché le regole più calde sono già state pubblicate nello speciale di ieri digest speciale dedicato alle regole che rilevano lo sfruttamento di una vulnerabilità critica nei server DNS di Windows, CVE-2020-1350 (conosciuta anche come SIGRed). La pubblicazione di oggi è dedicata al rilevamento […]
CVE-2020-1350 (SIGRed) Rilevazione dello Sfruttamento con Regole di Threat Hunting
Oggi introduciamo un digest speciale di contenuti che aiuta a rilevare lo sfruttamento di una vulnerabilità critica nei server DNS di Windows. La vulnerabilità è diventata nota solo due giorni fa, ma da allora, sia il team di SOC Prime (rappresentato da Nate Guagenty) sia i partecipanti al Threat Bounty Program hanno pubblicato oltre 10 […]