Dall’inizio della pandemia, le soluzioni per videoconferenze sono diventate parte integrante del flusso di lavoro in molte organizzazioni. Inizialmente, Zoom ha preso il comando e molti criminali informatici hanno subito iniziato a utilizzarlo in campagne di phishing, sfruttando il fatto che un gran numero di dipendenti non aveva mai utilizzato prima questa tecnologia. Ben presto, […]
Regole di Ricerca delle Minacce: Ave Maria RAT
L’articolo di oggi è in qualche modo una continuazione di Contenuto di rilevamento: Arkei Stealer poiché l’autore della regola di rilevamento per Ave Maria RAT è lo stesso, e entrambi gli strumenti malevoli sono stati recentemente diffusi attivamente utilizzando lo Spamhaus Botnet. Ave Maria è un Remote Access Trojan spesso utilizzato dagli avversari per prendere […]
Contenuto di Rilevamento: Arkei Stealer
Arkei Stealer è una variante di malware infostealer e la sua funzionalità è simile al malware Azorult: ruba informazioni sensibili, credenziali e chiavi private per portafogli di criptovaluta. Il malware è venduto nei forum clandestini, e chiunque può acquisire e utilizzare sia la versione “legittima” che la versione crackata di Arkei Stealer, rendendo difficile attribuire […]
IOC Sigma: Creazione di Cartelle Mock
Oggi vogliamo prestare attenzione alla regola IOC Sigma della community presentata da Ariel Millahuel per rilevare la creazione di directory mock che possono essere utilizzate per bypassare il Controllo Account Utente (UAC): https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1 Una cartella mock è un’imitazione specifica di una cartella di Windows con uno spazio finale nel suo nome, e il ricercatore di […]
Contenuto di Rilevamento: Bazar Loader
Questo autunno ha portato un’altra sfida ai custodi delle infrastrutture aziendali. All’inizio di quest’anno, a fine aprile, gli sviluppatori di TrickBot hanno utilizzato una nuova backdoor furtiva in una campagna di phishing mirata a servizi professionali, sanità, manifatturiero, IT, logistica e aziende di viaggio negli Stati Uniti e in Europa. Molti attori di minacce avanzate, […]
Regola della Settimana: Rilevamento di Ransomware VHD
Crediamo che oggi meritatamente conferiamo il titolo di Regola della Settimana all’esclusiva regola Sigma sviluppata da Osman Demir per abilitare il rilevamento del ransomware VHD: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 I primi attacchi che utilizzavano questa variante di ransomware sono iniziati a marzo 2020, e solo di recente i ricercatori hanno collegato loro al Lazarus APT. Ciò è stato […]
Regole di Threat Hunting: Redaman RAT
Oggi, nella categoria delle Regole di Threat Hunting, siamo lieti di presentarvi una nuova regola sviluppata da Ariel Millahuel, che rileva Redaman RAT: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1 Redaman è una forma di trojan bancario distribuito da campagne di phishing. È stato visto per la prima volta nel 2015 e segnalato come Trojan bancario RTM, nuove versioni di Redaman […]
Contenuto di rilevamento: MATA framework malware multipiattaforma del gruppo APT Lazarus
La settimana scorsa, i ricercatori hanno segnalato il più recente strumento famigerato del gruppo APT Lazarus, che è stato utilizzato negli attacchi del gruppo dalla primavera del 2018. Il loro nuovo ‘giocattolo’ è stato chiamato MATA, è un framework modulare cross-platform con diversi componenti tra cui un loader, un orchestratore e diversi plugin che possono […]
Regole per il Threat Hunting: Golden Chickens MaaS
Come sapete, il Malware-as-a-Service (MaaS) è un business che è già diventato comune e opera sui forum clandestini e mercati neri offrendo una gamma di servizi. I primi attacchi che utilizzavano il MaaS di Golden Chickens sono iniziati nel 2017, e il gruppo Cobalt è stato tra i loro primi “clienti”. Il successo di questo […]
Contenuto di Rilevamento: Backdoor RDAT
La scorsa settimana, i ricercatori hanno pubblicato dettagli sugli attacchi mirati alle telecomunicazioni del Medio Oriente effettuati da APT34 (alias OilRig e Helix Kitten), e strumenti aggiornati nell’arsenale di questo gruppo. Naturalmente, i partecipanti al Threat Bounty Program non sono rimasti indifferenti e hanno pubblicato un paio di regole per rilevare il RDAT Backdoor, ma […]