Il trojan bancario QakBot (alias QBot) è stato utilizzato in attacchi a organizzazioni per oltre 10 anni, e i suoi autori monitorano continuamente le tendenze del panorama delle minacce aggiungendo nuove funzionalitĂ o rimuovendole se non funzionano correttamente. Nel 2017, questo malware possedeva capacitĂ simili a un worm ed era in grado di bloccare gli […]
Contenuto di Rilevamento: Campagna di Kpot Info Stealer
COVID-19 è di gran lunga l’argomento piĂą popolare sfruttato dai cybercriminali nelle campagne di phishing e malspam. Recentemente, gli attaccanti hanno trovato un modo nuovo ed efficace per convincere l’utente ad aprire un allegato dannoso. I ricercatori di IBM X-Force hanno scoperto una campagna dannosa che utilizzava email che sembravano essere messaggi dal Dipartimento del […]
Contenuto di Threat Hunting: Trojan TAINTEDSCRIBE
La scorsa settimana, CISA, FBI e DoD hanno rilasciato rapporti di analisi di malware sui recenti strumenti scoperti del noto gruppo Lazarus che svolgono operazioni nell’interesse del governo nordcoreano. Le varianti di malware, chiamate COPPERHEDGE, TAINTEDSCRIBE e PEBBLEDASH, possono essere utilizzate per il riconoscimento e l’eliminazione di informazioni riservate sui sistemi target. Il malware TAINTEDSCRIBE […]
Contenuto di Rilevamento: Caccia al Netwire RAT
NetWire è un Trojan di Accesso Remoto disponibile pubblicamente che fa parte della famiglia di malware NetWiredRC utilizzata dai criminali informatici dal 2012. La sua funzionalitĂ principale si concentra sul furto di credenziali e keylogging, ma possiede anche capacitĂ di controllo remoto. Gli avversari distribuiscono spesso NetWire attraverso malspam e email di phishing. In una […]
Intervista con lo Sviluppatore: Emir Erdogan
Continuiamo a intervistare i membri del Threat Bounty Program (https://my.socprime.com/en/tdm-developers), e oggi vogliamo presentarvi Emir Erdogan. Emir partecipa al programma da settembre 2019, ha pubblicato oltre 110 regole Sigma a suo nome, ma Emir pubblica anche regole YARA per rilevare le minacce effettive. Le sue regole si trovano spesso nei nostri post del blog: Sintesi […]
Contenuto di Threat Hunting: Rilevamento Multiplo HawkEye
Iniziamo la settimana con una nuova regola di Emir Erdogan – HawkEye Multiple Detection (Campagna di Phishing a Tema Covid19). Questo malware è noto anche come Predator Pain e ruba una varietĂ di informazioni sensibili dal sistema infetto, tra cui informazioni sul portafoglio bitcoin e credenziali di browser e client di posta. Lo stealer è […]
Digest delle Regole: RCE, CVE, OilRig e altro
Questo digest include regole sia dai membri del Programma Threat Bounty che dal SOC Prime Team. Iniziamo con le regole di Arunkumar Krishna che debutterĂ nel nostro Rule Digest con CVE-2020-0932: Un errore di esecuzione di codice remoto in Microsoft SharePoint. CVE-2020-0932 è stata corretta a aprile, permette agli utenti autenticati di eseguire codice arbitrario […]
Regola della Settimana: Rilevamento del Ransomware Nefilim/Nephilim
Questa settimana vogliamo evidenziare la regola Sigma della comunitĂ creata da Emir Erdogan che aiuta a rilevare il ransomware Nefilim/Nephilim utilizzato in attacchi distruttivi. Questa famiglia di ransomware è stata scoperta per la prima volta due mesi fa, e il suo codice si basa sul ransomware NEMTY, emerso l’estate scorsa come programma affiliato pubblico. Sembra […]
Contenuto di Threat Hunting: Campagne Remcos RAT COVID19
Remcos RAT è stato individuato per la prima volta nel 2016. Ora si presenta come uno strumento legittimo di accesso remoto, ma è stato utilizzato in numerose campagne globali di hacking. Su vari siti e forum, i cybercriminali pubblicizzano, vendono e offrono la versione crackata di questo malware. Dalla fine di febbraio, i ricercatori di […]
Contenuto di Rilevamento: Trojan Floxif
Floxif Trojan è principalmente noto per essere utilizzato dal gruppo Winnti, che lo ha distribuito con CCleaner infettato, scaricato dagli utenti dal sito ufficiale. L’attacco si è verificato a settembre 2017, i responsabili sarebbero riusciti ad accedere all’ambiente di sviluppo di CCleaner. Floxif Trojan è stato utilizzato con Nyetya Trojan per raccogliere informazioni sui sistemi […]