In uno dei nostri Contenuti su Threat Hunting post sul blog, abbiamo già osservato una regola per rilevare Avaddon ransomware, una nuova variante di Ransomware-as-a-Service che è stata individuata per la prima volta agli inizi di giugno. Uno dei distributori più attivi di Avaddon ransomware è il botnet Phorpiex, che si è recentemente ripreso dalle […]
Digest delle Regole: Malware Valak e HanaLoader, Abuso di MSBuild e Altro
E ancora una volta, siamo lieti di presentare il nostro Rule Digest, che questa volta mostra il contenuto di rilevamento non solo dei partecipanti al Threat Bounty Program ma anche del SOC Prime Team. Oggi vi parleremo un po’ del malware Valak e HanaLoader, del rilevamento del dump di dati e dell’abuso di MSBuild, e […]
Regola della Settimana: Caricamento DLL Evasivo / Bypass AWL
Oggi, “Possibile Caricamento DLL Evasivo / Bypass AWL (via cmdline)” la regola rilasciata dal team SOC Prime è finita nella nostra colonna “Regola della Settimana“: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Come sapete, il whitelisting delle applicazioni (AWL) è un approccio proattivo che consente solo l’esecuzione di programmi pre-approvati e specificati. Qualsiasi altro programma non in whitelist è bloccato per […]
Contenuto di Caccia alle Minacce: CertReq.exe Lolbin
I binari Living off the Land (Lolbins) sono binari legittimi che avversari avanzati spesso usano in modo improprio per eseguire azioni oltre il loro scopo originale. I criminali informatici li usano attivamente per scaricare malware, per garantire la persistenza, per l’esfiltrazione dei dati, per il movimento laterale e altro ancora. Proprio ieri abbiamo scritto di […]
Contenuto di rilevamento: ransomware WastedLocker
Il nuovo ransomware WastedLocker è stato individuato per la prima volta a maggio 2020. È stato sviluppato dal gruppo di alto profilo Evil Corp, che in precedenza ha utilizzato il trojan Dridex per distribuire il ransomware BitPaymer negli attacchi che prendevano di mira organizzazioni governative e imprese negli Stati Uniti e in Europa. ransomware in […]
Contenuto di Threat Hunting: Rilevamento di DropboxAES RAT
Oggi vogliamo parlarvi del trojan DropboxAES utilizzato dal gruppo APT31 nelle campagne di spionaggio informatico e fornire anche un link alla regola Community Sigma per rilevare questo malware. In generale, DropboxAES non si distingue dalla maggior parte dei trojan di accesso remoto. Questo è uno strumento relativamente nuovo nell’arsenale di APT31 (conosciuto anche come BRONZE […]
Le vulnerabilità CVE-2020-5903 in F5 BIG-IP consentono il compromesso completo del sistema
La settimana scorsa, F5 Networks, uno dei più grandi fornitori mondiali di prodotti per il delivery networking delle applicazioni, ha rilasciato un avviso di sicurezza per avvertire i propri clienti di una pericolosa vulnerabilità che i criminali informatici potrebbero iniziare a sfruttare nel prossimo futuro se non fosse già sfruttata allo stato attuale. Il difetto […]
Digest delle Regole: Trojan e Ransomware
Nell’analisi di oggi, vogliamo evidenziare il contenuto fornito dai membri del Programma di Ricompensa per Minacce che aiuterà le soluzioni di sicurezza a rilevare Saefko RAT, trojan Ursa, e una serie di ceppi di ransomware in rapida diffusione. Il Saefko RAT è un trojan di accesso remoto relativamente nuovo scritto in .NET che è stato […]
Regola della Settimana: Thanos Ransomware
Oggi nella sezione Regola della Settimana, suggeriamo di prestare attenzione alla regola pubblicata da Emir Erdogan. La nuova regola aiuta a rilevare il ransomware Thanos, che ha armato la tattica RIPlace per bypassare le soluzioni anti-ransomware: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1 Il ransomware Thanos è apparso per la prima volta alla fine dello scorso anno e i suoi autori […]
Contenuto di Rilevamento: Comportamento di Ransom X
Un’altra famiglia di ransomware è apparsa questa primavera ed è utilizzata attivamente in attacchi mirati contro imprese e agenzie governative. A metà maggio, i criminali informatici hanno attaccato la rete del Dipartimento dei Trasporti del Texas, ma l’accesso non autorizzato è stato scoperto e, di conseguenza, solo parte dei sistemi è stata criptata. In questo […]