Oggi vogliamo prestare attenzione alla regola IOC Sigma della community presentata da Ariel Millahuel per rilevare la creazione di directory mock che possono essere utilizzate per bypassare il Controllo Account Utente (UAC): https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1 Una cartella mock è un’imitazione specifica di una cartella di Windows con uno spazio finale nel suo nome, e il ricercatore di […]
Contenuto di Rilevamento: Bazar Loader
Questo autunno ha portato un’altra sfida ai custodi delle infrastrutture aziendali. All’inizio di quest’anno, a fine aprile, gli sviluppatori di TrickBot hanno utilizzato una nuova backdoor furtiva in una campagna di phishing mirata a servizi professionali, sanità, manifatturiero, IT, logistica e aziende di viaggio negli Stati Uniti e in Europa. Molti attori di minacce avanzate, […]
Regola della Settimana: Rilevamento di Ransomware VHD
Crediamo che oggi meritatamente conferiamo il titolo di Regola della Settimana all’esclusiva regola Sigma sviluppata da Osman Demir per abilitare il rilevamento del ransomware VHD: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 I primi attacchi che utilizzavano questa variante di ransomware sono iniziati a marzo 2020, e solo di recente i ricercatori hanno collegato loro al Lazarus APT. Ciò è stato […]
Regole di Threat Hunting: Redaman RAT
Oggi, nella categoria delle Regole di Threat Hunting, siamo lieti di presentarvi una nuova regola sviluppata da Ariel Millahuel, che rileva Redaman RAT: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1 Redaman è una forma di trojan bancario distribuito da campagne di phishing. È stato visto per la prima volta nel 2015 e segnalato come Trojan bancario RTM, nuove versioni di Redaman […]
Contenuto di rilevamento: MATA framework malware multipiattaforma del gruppo APT Lazarus
La settimana scorsa, i ricercatori hanno segnalato il più recente strumento famigerato del gruppo APT Lazarus, che è stato utilizzato negli attacchi del gruppo dalla primavera del 2018. Il loro nuovo ‘giocattolo’ è stato chiamato MATA, è un framework modulare cross-platform con diversi componenti tra cui un loader, un orchestratore e diversi plugin che possono […]
Regole per il Threat Hunting: Golden Chickens MaaS
Come sapete, il Malware-as-a-Service (MaaS) è un business che è già diventato comune e opera sui forum clandestini e mercati neri offrendo una gamma di servizi. I primi attacchi che utilizzavano il MaaS di Golden Chickens sono iniziati nel 2017, e il gruppo Cobalt è stato tra i loro primi “clienti”. Il successo di questo […]
Contenuto di Rilevamento: Backdoor RDAT
La scorsa settimana, i ricercatori hanno pubblicato dettagli sugli attacchi mirati alle telecomunicazioni del Medio Oriente effettuati da APT34 (alias OilRig e Helix Kitten), e strumenti aggiornati nell’arsenale di questo gruppo. Naturalmente, i partecipanti al Threat Bounty Program non sono rimasti indifferenti e hanno pubblicato un paio di regole per rilevare il RDAT Backdoor, ma […]
Contenuto di Caccia alle Minacce: Emotet Ritorna Ancora una Volta
Mai fu storia più dolorosa di questa di Emotet che ritorna ancora una volta. Questa volta, non ci sono state campagne su larga scala per circa sette mesi, anche se sono stati registrati casi isolati di infezione e i ricercatori hanno trovato documenti che distribuivano questo malware. Gli attacchi sono ripresi lo scorso venerdì, con […]
CVE-2020-3452: Lettura di file non autenticata in Cisco ASA e rilevamento Cisco Firepower
Ancora una volta, usciamo dal solito programma di pubblicazione a causa dell’emergere di un exploit per la vulnerabilità critica CVE-2020-3452 in Cisco ASA & Cisco Firepower, così come l’emergere di regole per rilevare lo sfruttamento di questa vulnerabilità. CVE-2020-3452 – un altro mal di testa a luglio CVE-2020-3452 è stata scoperta alla fine dell’anno scorso, […]
Contenuto di Rilevamento: Formbook Diffuso Tramite PDF Falso (Comportamento Sysmon)
L’epidemia di Covid19 ha rivelato diverse lacune nella cybersecurity. Facciamo del nostro meglio per tenervi aggiornati sulle ultime tendenze tramite i nostri Weekly Talks, webinar, Digests di contenuti rilevanti. Tuttavia, la curiosità umana nel flusso di informazioni potrebbe rappresentare un punto debole. FormBook, il ladro di informazioni noto dal 2016, è stato distribuito attivamente tramite […]