Oggi introduciamo un digest speciale di contenuti che aiuta a rilevare lo sfruttamento di una vulnerabilità critica nei server DNS di Windows. La vulnerabilità è diventata nota solo due giorni fa, ma da allora, sia il team di SOC Prime (rappresentato da Nate Guagenty) sia i partecipanti al Threat Bounty Program hanno pubblicato oltre 10 […]
Dashboard Aziendale: Approfondimenti sull’Attività nel Tuo Mercato di Rilevamento delle Minacce
SOC Prime Threat Detection Marketplace (SOC Prime TDM) è stato creato come una piattaforma di contenuti SaaS che aiuta le aziende a migliorare le loro analisi della sicurezza. Pertanto, potenziare le capacità analitiche e fornire statistiche in tempo reale è una delle caratteristiche fondamentali che noi di SOC Prime consideriamo di valore primario. La visualizzazione […]
Contenuto di Threat Hunting: Comportamento di SamoRAT
Oggi nella sezione Contenuti di Threat Hunting vogliamo prestare attenzione alla regola comunitaria rilasciata in Threat Detection Marketplace da Ariel Millahuel che rileva nuovi campioni del malware SamoRAT: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1 Questo trojan di accesso remoto è apparso sui radar dei ricercatori recentemente, i primi campioni di SamoRAT sono stati scoperti circa un mese fa. Il trojan […]
Contenuto di Rilevamento: Trojan Phorpiex
In uno dei nostri Contenuti su Threat Hunting post sul blog, abbiamo già osservato una regola per rilevare Avaddon ransomware, una nuova variante di Ransomware-as-a-Service che è stata individuata per la prima volta agli inizi di giugno. Uno dei distributori più attivi di Avaddon ransomware è il botnet Phorpiex, che si è recentemente ripreso dalle […]
Digest delle Regole: Malware Valak e HanaLoader, Abuso di MSBuild e Altro
E ancora una volta, siamo lieti di presentare il nostro Rule Digest, che questa volta mostra il contenuto di rilevamento non solo dei partecipanti al Threat Bounty Program ma anche del SOC Prime Team. Oggi vi parleremo un po’ del malware Valak e HanaLoader, del rilevamento del dump di dati e dell’abuso di MSBuild, e […]
Regola della Settimana: Caricamento DLL Evasivo / Bypass AWL
Oggi, “Possibile Caricamento DLL Evasivo / Bypass AWL (via cmdline)” la regola rilasciata dal team SOC Prime è finita nella nostra colonna “Regola della Settimana“: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Come sapete, il whitelisting delle applicazioni (AWL) è un approccio proattivo che consente solo l’esecuzione di programmi pre-approvati e specificati. Qualsiasi altro programma non in whitelist è bloccato per […]
Contenuto di Caccia alle Minacce: CertReq.exe Lolbin
I binari Living off the Land (Lolbins) sono binari legittimi che avversari avanzati spesso usano in modo improprio per eseguire azioni oltre il loro scopo originale. I criminali informatici li usano attivamente per scaricare malware, per garantire la persistenza, per l’esfiltrazione dei dati, per il movimento laterale e altro ancora. Proprio ieri abbiamo scritto di […]
Contenuto di rilevamento: ransomware WastedLocker
Il nuovo ransomware WastedLocker è stato individuato per la prima volta a maggio 2020. È stato sviluppato dal gruppo di alto profilo Evil Corp, che in precedenza ha utilizzato il trojan Dridex per distribuire il ransomware BitPaymer negli attacchi che prendevano di mira organizzazioni governative e imprese negli Stati Uniti e in Europa. ransomware in […]
Contenuto di Threat Hunting: Rilevamento di DropboxAES RAT
Oggi vogliamo parlarvi del trojan DropboxAES utilizzato dal gruppo APT31 nelle campagne di spionaggio informatico e fornire anche un link alla regola Community Sigma per rilevare questo malware. In generale, DropboxAES non si distingue dalla maggior parte dei trojan di accesso remoto. Questo è uno strumento relativamente nuovo nell’arsenale di APT31 (conosciuto anche come BRONZE […]
Le vulnerabilità CVE-2020-5903 in F5 BIG-IP consentono il compromesso completo del sistema
La settimana scorsa, F5 Networks, uno dei più grandi fornitori mondiali di prodotti per il delivery networking delle applicazioni, ha rilasciato un avviso di sicurezza per avvertire i propri clienti di una pericolosa vulnerabilità che i criminali informatici potrebbero iniziare a sfruttare nel prossimo futuro se non fosse già sfruttata allo stato attuale. Il difetto […]