Le esche a tema Zoom continuano ad essere utilizzate attivamente dai criminali informatici, occupando un posto d’onore tra i primi dieci argomenti più utilizzati nelle campagne di phishing. Sin dall’inizio del lockdown, con la crescita della popolarità di Zoom, il numero di attacchi è aumentato e, anche dopo che i ricercatori hanno scoperto seri problemi […]
Contenuto di Rilevamento: Individuare il Trojan Lokibot
Lokibot è un malware di tipo trojan progettato per raccogliere un’ampia gamma di dati sensibili. È stato notato per la prima volta nel 2015 e rimane molto popolare tra i criminali informatici poiché può essere acquistato nel forum sotterraneo da qualsiasi attaccante. Alcuni anni fa, i “smanettoni” hanno imparato ad aggiungere da soli indirizzi di […]
Digest delle Regole: Gruppi APT, Campagne Malware e Telemetria di Windows
Questa settimana il nostro Rule Digest copre più contenuti del solito. Compila regole per rilevare recenti attacchi di attori sponsorizzati dallo Stato, campagne di malware condotte da cybercriminali e abuso della telemetria di Windows. Mustang Panda è il gruppo di minaccia basato in Cina che ha dimostrato la capacità di assimilare rapidamente nuovi strumenti […]
Regola della Settimana: Trojan Bunitu
Oggi nella sezione Regola della Settimana vogliamo evidenziare una nuova regola di threat hunting di Ariel Millahuel che aiuta a rilevare i campioni di Bunitu Proxy Trojan: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1 Bunitu Trojan viene utilizzato per trasformare i sistemi infetti in proxy per clienti remoti. Le sue azioni dannose possono rallentare il traffico di rete e gli avversari […]
Contenuto di Threat Hunting: Higaisa APT
Higaisa APT è noto da novembre 2019, quando i ricercatori di Tencent lo hanno per la prima volta documentato le sue attività. Il gruppo è stato scoperto di recente, ma gli aggressori operano da diversi anni e usano strumenti comuni per complicare l’attribuzione. Utilizzano principalmente malware per dispositivi mobili e i trojan Gh0st e PlugX. […]
Contenuto di Rilevamento: Tycoon Ransomware
Nonostante il fatto che nuove famiglie di ransomware appaiano piuttosto spesso, la maggior parte di esse si concentra esclusivamente sui sistemi Windows. Molto più interessante è Tycoon, un ransomware Java multipiattaforma che può crittografare file su sistemi sia Windows che Linux. Questa famiglia è stata osservata in-the-wild almeno da dicembre 2019. I suoi autori lo […]
Contenuto per la Caccia alle Minacce: Campagna di Spionaggio del Gruppo Sandworm
Unità di cyberspionaggio sponsorizzata dallo stato russo nota per i suoi attacchi distruttivi che sta attivamente compromettendo i server di posta Exim tramite una vulnerabilità di sicurezza critica (CVE-2019-10149). Alla fine di maggio, la National Security Agency ha pubblicato un Avviso di sicurezza informatica che ha avvertito di una campagna legata al Sandworm Group. Il […]
Riepilogo Regole: Emotet, Ransomware e Trojan
Ciao a tutti, siamo tornati con cinque nuove regole presentate questa settimana dai partecipanti al Programma Threat Bounty. Puoi controllare i nostri precedenti digest qui, e se hai domande, sei il benvenuto nella chat. Il malware simile a un worm Pykspa può installarsi per mantenere la persistenza, ascoltare la porta in entrata per ulteriori comandi […]
Regola della settimana: Esecuzione di comandi su Azure VM
Nella Sezione della Settimana presentiamo la Esecuzione Comandi su Azure VM (via azureactivity) regola del Team di SOC Prime: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1# Gli avversari possono abusare delle funzionalità di Azure VM per stabilire un punto d’appoggio in un ambiente, che potrebbe essere utilizzato per mantenere l’accesso e scalare i privilegi. Possono sfruttare la funzione Run Command che […]
Contenuto di Rilevamento: Himera Loader
Il post di oggi è dedicato al malware loader Himera che gli avversari hanno utilizzato nelle campagne di phishing legate al COVID-19 dallo scorso mese. I criminali informatici continuano a sfruttare le richieste dell’Family and Medical Leave Act legate alla pandemia in corso di COVID-19 come esca, poiché questo tema ha già dimostrato la sua […]