Greenbug APT è un’unità di cyber-spionaggio basata in Iran attiva almeno da giugno 2016. Il gruppo utilizza molto probabilmente attacchi di spear-phishing per compromettere le organizzazioni mirate. Gli avversari utilizzano più strumenti per compromettere altri sistemi nella rete dopo un compromesso iniziale e rubano nomi utente e password da sistemi operativi, account email e browser […]
Intervista con lo Sviluppatore: Sreeman Shanker
Incontra Sreeman, uno dei partecipanti più attivi del SOC Prime Threat Bounty Program. Sreeman partecipa al Threat Bounty Program dal dicembre 2019. Prima di iniziare a pubblicare i suoi stessi contenuti sviluppati nel Threat Detection Marketplace, Sreeman ha contribuito notevolmente con cambiamenti e miglioramenti alle traduzioni dei contenuti TDM per Azure Sentinel e Microsoft Defender […]
Contenuto di Rilevamento: Malspam Scarica il Malware Zloader
Zloader Trojan (noto anche come Zeus Sphinx e Terdot) è stato inizialmente individuato nell’agosto 2015. Si basa sul codice sorgente trapelato del Trojan Zeus v2 e i criminali informatici lo hanno utilizzato in attacchi a organizzazioni finanziarie in tutto il mondo raccogliendo dati sensibili tramite iniezioni web. All’inizio del 2018, l’uso di questo Trojan bancario […]
Digest delle Regole: Trojan, Cyberspie e gruppo RATicate
Questa settimana nel nostro digest ci sono regole sviluppate esclusivamente dai partecipanti del Programma Threat Bounty. L’attore delle minacce dietro la recente variante di Ursnif probabilmente conduce operazioni di criminalità informatica mirate che sono ancora in corso. Al centro di queste campagne c’è una variante del Trojan Ursnif che è stata riproposta come strumento di […]
Regola della Settimana: Rilevamento Malware QakBot
Il trojan bancario QakBot (alias QBot) è stato utilizzato in attacchi a organizzazioni per oltre 10 anni, e i suoi autori monitorano continuamente le tendenze del panorama delle minacce aggiungendo nuove funzionalità o rimuovendole se non funzionano correttamente. Nel 2017, questo malware possedeva capacità simili a un worm ed era in grado di bloccare gli […]
Contenuto di Rilevamento: Campagna di Kpot Info Stealer
COVID-19 è di gran lunga l’argomento più popolare sfruttato dai cybercriminali nelle campagne di phishing e malspam. Recentemente, gli attaccanti hanno trovato un modo nuovo ed efficace per convincere l’utente ad aprire un allegato dannoso. I ricercatori di IBM X-Force hanno scoperto una campagna dannosa che utilizzava email che sembravano essere messaggi dal Dipartimento del […]
Contenuto di Threat Hunting: Trojan TAINTEDSCRIBE
La scorsa settimana, CISA, FBI e DoD hanno rilasciato rapporti di analisi di malware sui recenti strumenti scoperti del noto gruppo Lazarus che svolgono operazioni nell’interesse del governo nordcoreano. Le varianti di malware, chiamate COPPERHEDGE, TAINTEDSCRIBE e PEBBLEDASH, possono essere utilizzate per il riconoscimento e l’eliminazione di informazioni riservate sui sistemi target. Il malware TAINTEDSCRIBE […]
Contenuto di Rilevamento: Caccia al Netwire RAT
NetWire è un Trojan di Accesso Remoto disponibile pubblicamente che fa parte della famiglia di malware NetWiredRC utilizzata dai criminali informatici dal 2012. La sua funzionalità principale si concentra sul furto di credenziali e keylogging, ma possiede anche capacità di controllo remoto. Gli avversari distribuiscono spesso NetWire attraverso malspam e email di phishing. In una […]
Intervista con lo Sviluppatore: Emir Erdogan
Continuiamo a intervistare i membri del Threat Bounty Program (https://my.socprime.com/en/tdm-developers), e oggi vogliamo presentarvi Emir Erdogan. Emir partecipa al programma da settembre 2019, ha pubblicato oltre 110 regole Sigma a suo nome, ma Emir pubblica anche regole YARA per rilevare le minacce effettive. Le sue regole si trovano spesso nei nostri post del blog: Sintesi […]
Contenuto di Threat Hunting: Rilevamento Multiplo HawkEye
Iniziamo la settimana con una nuova regola di Emir Erdogan – HawkEye Multiple Detection (Campagna di Phishing a Tema Covid19). Questo malware è noto anche come Predator Pain e ruba una varietà di informazioni sensibili dal sistema infetto, tra cui informazioni sul portafoglio bitcoin e credenziali di browser e client di posta. Lo stealer è […]