Oggi, “Possibile Caricamento DLL Evasivo / Bypass AWL (via cmdline)” la regola rilasciata dal team SOC Prime è finita nella nostra colonna “Regola della Settimana“: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Come sapete, il whitelisting delle applicazioni (AWL) è un approccio proattivo che consente solo l’esecuzione di programmi pre-approvati e specificati. Qualsiasi altro programma non in whitelist è bloccato per […]
Contenuto di Caccia alle Minacce: CertReq.exe Lolbin
I binari Living off the Land (Lolbins) sono binari legittimi che avversari avanzati spesso usano in modo improprio per eseguire azioni oltre il loro scopo originale. I criminali informatici li usano attivamente per scaricare malware, per garantire la persistenza, per l’esfiltrazione dei dati, per il movimento laterale e altro ancora. Proprio ieri abbiamo scritto di […]
Contenuto di rilevamento: ransomware WastedLocker
Il nuovo ransomware WastedLocker è stato individuato per la prima volta a maggio 2020. È stato sviluppato dal gruppo di alto profilo Evil Corp, che in precedenza ha utilizzato il trojan Dridex per distribuire il ransomware BitPaymer negli attacchi che prendevano di mira organizzazioni governative e imprese negli Stati Uniti e in Europa. ransomware in […]
Contenuto di Threat Hunting: Rilevamento di DropboxAES RAT
Oggi vogliamo parlarvi del trojan DropboxAES utilizzato dal gruppo APT31 nelle campagne di spionaggio informatico e fornire anche un link alla regola Community Sigma per rilevare questo malware. In generale, DropboxAES non si distingue dalla maggior parte dei trojan di accesso remoto. Questo è uno strumento relativamente nuovo nell’arsenale di APT31 (conosciuto anche come BRONZE […]
Le vulnerabilità CVE-2020-5903 in F5 BIG-IP consentono il compromesso completo del sistema
La settimana scorsa, F5 Networks, uno dei più grandi fornitori mondiali di prodotti per il delivery networking delle applicazioni, ha rilasciato un avviso di sicurezza per avvertire i propri clienti di una pericolosa vulnerabilità che i criminali informatici potrebbero iniziare a sfruttare nel prossimo futuro se non fosse già sfruttata allo stato attuale. Il difetto […]
Digest delle Regole: Trojan e Ransomware
Nell’analisi di oggi, vogliamo evidenziare il contenuto fornito dai membri del Programma di Ricompensa per Minacce che aiuterà le soluzioni di sicurezza a rilevare Saefko RAT, trojan Ursa, e una serie di ceppi di ransomware in rapida diffusione. Il Saefko RAT è un trojan di accesso remoto relativamente nuovo scritto in .NET che è stato […]
Regola della Settimana: Thanos Ransomware
Oggi nella sezione Regola della Settimana, suggeriamo di prestare attenzione alla regola pubblicata da Emir Erdogan. La nuova regola aiuta a rilevare il ransomware Thanos, che ha armato la tattica RIPlace per bypassare le soluzioni anti-ransomware: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1 Il ransomware Thanos è apparso per la prima volta alla fine dello scorso anno e i suoi autori […]
Contenuto di Rilevamento: Comportamento di Ransom X
Un’altra famiglia di ransomware è apparsa questa primavera ed è utilizzata attivamente in attacchi mirati contro imprese e agenzie governative. A metà maggio, i criminali informatici hanno attaccato la rete del Dipartimento dei Trasporti del Texas, ma l’accesso non autorizzato è stato scoperto e, di conseguenza, solo parte dei sistemi è stata criptata. In questo […]
Contenuto di Threat Hunting: Rilevamento di Taurus Stealer
Il malware Taurus per il furto di informazioni è uno strumento relativamente nuovo creato dal team Predator The Thief che lo promuove nei forum di hacker. L’infostealer può rubare dati sensibili da browser, portafogli di criptovalute, FTP, client email e varie app. Il malware è altamente evasivo e include tecniche per eludere il rilevamento nei […]
Contenuto di Rilevamento: Comportamento del Malware PsiXBot
Poiché Google e Mozilla diffondono l’uso del protocollo DNS over HTTPS, sempre più autori di malware colgono questa perfetta opportunità per nascondere il traffico malevolo. Le versioni recentemente scoperte di PsiXBot sfruttano il servizio DoH di Google per recuperare gli IP per l’infrastruttura di comando e controllo. Il malware è apparso nel 2017 come un […]