Questa settimana il nostro Rule Digest copre piĂą contenuti del solito. Compila regole per rilevare recenti attacchi di attori sponsorizzati dallo Stato, campagne di malware condotte da cybercriminali e abuso della telemetria di Windows. Mustang Panda è il gruppo di minaccia basato in Cina che ha dimostrato la capacitĂ di assimilare rapidamente nuovi strumenti […]
Regola della Settimana: Trojan Bunitu
Oggi nella sezione Regola della Settimana vogliamo evidenziare una nuova regola di threat hunting di Ariel Millahuel che aiuta a rilevare i campioni di Bunitu Proxy Trojan: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1 Bunitu Trojan viene utilizzato per trasformare i sistemi infetti in proxy per clienti remoti. Le sue azioni dannose possono rallentare il traffico di rete e gli avversari […]
Contenuto di Threat Hunting: Higaisa APT
Higaisa APT è noto da novembre 2019, quando i ricercatori di Tencent lo hanno per la prima volta documentato le sue attivitĂ . Il gruppo è stato scoperto di recente, ma gli aggressori operano da diversi anni e usano strumenti comuni per complicare l’attribuzione. Utilizzano principalmente malware per dispositivi mobili e i trojan Gh0st e PlugX. […]
Contenuto di Rilevamento: Tycoon Ransomware
Nonostante il fatto che nuove famiglie di ransomware appaiano piuttosto spesso, la maggior parte di esse si concentra esclusivamente sui sistemi Windows. Molto piĂą interessante è Tycoon, un ransomware Java multipiattaforma che può crittografare file su sistemi sia Windows che Linux. Questa famiglia è stata osservata in-the-wild almeno da dicembre 2019. I suoi autori lo […]
Contenuto per la Caccia alle Minacce: Campagna di Spionaggio del Gruppo Sandworm
UnitĂ di cyberspionaggio sponsorizzata dallo stato russo nota per i suoi attacchi distruttivi che sta attivamente compromettendo i server di posta Exim tramite una vulnerabilitĂ di sicurezza critica (CVE-2019-10149). Alla fine di maggio, la National Security Agency ha pubblicato un Avviso di sicurezza informatica che ha avvertito di una campagna legata al Sandworm Group. Il […]
Riepilogo Regole: Emotet, Ransomware e Trojan
Ciao a tutti, siamo tornati con cinque nuove regole presentate questa settimana dai partecipanti al Programma Threat Bounty. Puoi controllare i nostri precedenti digest qui, e se hai domande, sei il benvenuto nella chat. Il malware simile a un worm Pykspa può installarsi per mantenere la persistenza, ascoltare la porta in entrata per ulteriori comandi […]
Regola della settimana: Esecuzione di comandi su Azure VM
Nella Sezione della Settimana presentiamo la Esecuzione Comandi su Azure VM (via azureactivity) regola del Team di SOC Prime: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1# Â Â Gli avversari possono abusare delle funzionalitĂ di Azure VM per stabilire un punto d’appoggio in un ambiente, che potrebbe essere utilizzato per mantenere l’accesso e scalare i privilegi. Possono sfruttare la funzione Run Command che […]
Contenuto di Rilevamento: Himera Loader
Il post di oggi è dedicato al malware loader Himera che gli avversari hanno utilizzato nelle campagne di phishing legate al COVID-19 dallo scorso mese. I criminali informatici continuano a sfruttare le richieste dell’Family and Medical Leave Act legate alla pandemia in corso di COVID-19 come esca, poichĂ© questo tema ha giĂ dimostrato la sua […]
Contenuto per il Threat Hunting: Rilevamento di AsyncRat
Oggi, sotto la colonna Threat Hunting Content stiamo aumentando il vostro interesse per Rilevamento di AsyncRAT (Comportamento Sysmon) regola della comunitĂ di Emir Erdogan. La regola consente il rilevamento di AsyncRat utilizzando i log di sysmon. Secondo l’autore del progetto su GitHub, AsyncRat è uno strumento di accesso remoto progettato per monitorare e controllare a […]
Contenuto di Rilevazione: Malware APT38
Abbiamo recentemente pubblicato una regola per scoprire uno degli ultimi strumenti del noto gruppo APT38 piĂą conosciuto come Lazarus o Hidden Cobra. Ed è tempo di continuare a pubblicare contenuti per scoprire questo gruppo cybercriminale sofisticato. Nell’articolo di oggi, forniremo i link sui contenuti di rilevamento freschi da uno dei primi partecipanti al SOC Prime […]