PipeMon è una backdoor modulare firmata con un certificato appartenente a una societĂ di videogiochi, che è stata compromessa dal gruppo Winnti nel 2018. I ricercatori di ESET hanno scoperto questa backdoor usata in attacchi contro aziende in Corea del Sud e Taiwan che sviluppano popolari giochi online massivamente multiplayer. Hanno chiamato la backdoor PipeMon […]
IOC Sigma: AttivitĂ del Gruppo APT GreenBug
Greenbug APT è un’unitĂ di cyber-spionaggio basata in Iran attiva almeno da giugno 2016. Il gruppo utilizza molto probabilmente attacchi di spear-phishing per compromettere le organizzazioni mirate. Gli avversari utilizzano piĂą strumenti per compromettere altri sistemi nella rete dopo un compromesso iniziale e rubano nomi utente e password da sistemi operativi, account email e browser […]
Intervista con lo Sviluppatore: Sreeman Shanker
Incontra Sreeman, uno dei partecipanti piĂą attivi del SOC Prime Threat Bounty Program. Sreeman partecipa al Threat Bounty Program dal dicembre 2019. Prima di iniziare a pubblicare i suoi stessi contenuti sviluppati nel Threat Detection Marketplace, Sreeman ha contribuito notevolmente con cambiamenti e miglioramenti alle traduzioni dei contenuti TDM per Azure Sentinel e Microsoft Defender […]
Contenuto di Rilevamento: Malspam Scarica il Malware Zloader
Zloader Trojan (noto anche come Zeus Sphinx e Terdot) è stato inizialmente individuato nell’agosto 2015. Si basa sul codice sorgente trapelato del Trojan Zeus v2 e i criminali informatici lo hanno utilizzato in attacchi a organizzazioni finanziarie in tutto il mondo raccogliendo dati sensibili tramite iniezioni web. All’inizio del 2018, l’uso di questo Trojan bancario […]
Digest delle Regole: Trojan, Cyberspie e gruppo RATicate
Questa settimana nel nostro digest ci sono regole sviluppate esclusivamente dai partecipanti del Programma Threat Bounty. L’attore delle minacce dietro la recente variante di Ursnif probabilmente conduce operazioni di criminalitĂ informatica mirate che sono ancora in corso. Al centro di queste campagne c’è una variante del Trojan Ursnif che è stata riproposta come strumento di […]
Regola della Settimana: Rilevamento Malware QakBot
Il trojan bancario QakBot (alias QBot) è stato utilizzato in attacchi a organizzazioni per oltre 10 anni, e i suoi autori monitorano continuamente le tendenze del panorama delle minacce aggiungendo nuove funzionalitĂ o rimuovendole se non funzionano correttamente. Nel 2017, questo malware possedeva capacitĂ simili a un worm ed era in grado di bloccare gli […]
Contenuto di Rilevamento: Campagna di Kpot Info Stealer
COVID-19 è di gran lunga l’argomento piĂą popolare sfruttato dai cybercriminali nelle campagne di phishing e malspam. Recentemente, gli attaccanti hanno trovato un modo nuovo ed efficace per convincere l’utente ad aprire un allegato dannoso. I ricercatori di IBM X-Force hanno scoperto una campagna dannosa che utilizzava email che sembravano essere messaggi dal Dipartimento del […]
Contenuto di Threat Hunting: Trojan TAINTEDSCRIBE
La scorsa settimana, CISA, FBI e DoD hanno rilasciato rapporti di analisi di malware sui recenti strumenti scoperti del noto gruppo Lazarus che svolgono operazioni nell’interesse del governo nordcoreano. Le varianti di malware, chiamate COPPERHEDGE, TAINTEDSCRIBE e PEBBLEDASH, possono essere utilizzate per il riconoscimento e l’eliminazione di informazioni riservate sui sistemi target. Il malware TAINTEDSCRIBE […]
Contenuto di Rilevamento: Caccia al Netwire RAT
NetWire è un Trojan di Accesso Remoto disponibile pubblicamente che fa parte della famiglia di malware NetWiredRC utilizzata dai criminali informatici dal 2012. La sua funzionalitĂ principale si concentra sul furto di credenziali e keylogging, ma possiede anche capacitĂ di controllo remoto. Gli avversari distribuiscono spesso NetWire attraverso malspam e email di phishing. In una […]
Intervista con lo Sviluppatore: Emir Erdogan
Continuiamo a intervistare i membri del Threat Bounty Program (https://my.socprime.com/en/tdm-developers), e oggi vogliamo presentarvi Emir Erdogan. Emir partecipa al programma da settembre 2019, ha pubblicato oltre 110 regole Sigma a suo nome, ma Emir pubblica anche regole YARA per rilevare le minacce effettive. Le sue regole si trovano spesso nei nostri post del blog: Sintesi […]