Oggi nella sezione Regola della Settimana vogliamo evidenziare una nuova regola di threat hunting di Ariel Millahuel che aiuta a rilevare i campioni di Bunitu Proxy Trojan: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1 Bunitu Trojan viene utilizzato per trasformare i sistemi infetti in proxy per clienti remoti. Le sue azioni dannose possono rallentare il traffico di rete e gli avversari […]
Higaisa APT è noto da novembre 2019, quando i ricercatori di Tencent lo hanno per la prima volta documentato le sue attività . Il gruppo è stato scoperto di recente, ma gli aggressori operano da diversi anni e usano strumenti comuni per complicare l’attribuzione. Utilizzano principalmente malware per dispositivi mobili e i trojan Gh0st e PlugX. […]
Nonostante il fatto che nuove famiglie di ransomware appaiano piuttosto spesso, la maggior parte di esse si concentra esclusivamente sui sistemi Windows. Molto più interessante è Tycoon, un ransomware Java multipiattaforma che può crittografare file su sistemi sia Windows che Linux. Questa famiglia è stata osservata in-the-wild almeno da dicembre 2019. I suoi autori lo […]
Ciao a tutti, siamo tornati con cinque nuove regole presentate questa settimana dai partecipanti al Programma Threat Bounty. Puoi controllare i nostri precedenti digest qui, e se hai domande, sei il benvenuto nella chat. Il malware simile a un worm Pykspa può installarsi per mantenere la persistenza, ascoltare la porta in entrata per ulteriori comandi […]
Il ransomware Scarab è stato individuato per la prima volta nel giugno 2017 e da allora è riapparso con nuove versioni. Questo ransomware è uno dei molteplici varianti di HiddenTear, un Trojan ransomware open source rilasciato nel 2015. Le versioni recentemente scoperte di ransomware utilizzano un metodo di crittografia RSA migliorato e aggiungono varie estensioni […]
PipeMon è una backdoor modulare firmata con un certificato appartenente a una società di videogiochi, che è stata compromessa dal gruppo Winnti nel 2018. I ricercatori di ESET hanno scoperto questa backdoor usata in attacchi contro aziende in Corea del Sud e Taiwan che sviluppano popolari giochi online massivamente multiplayer. Hanno chiamato la backdoor PipeMon […]
Questa settimana nel nostro digest ci sono regole sviluppate esclusivamente dai partecipanti del Programma Threat Bounty. L’attore delle minacce dietro la recente variante di Ursnif probabilmente conduce operazioni di criminalità informatica mirate che sono ancora in corso. Al centro di queste campagne c’è una variante del Trojan Ursnif che è stata riproposta come strumento di […]
La scorsa settimana, CISA, FBI e DoD hanno rilasciato rapporti di analisi di malware sui recenti strumenti scoperti del noto gruppo Lazarus che svolgono operazioni nell’interesse del governo nordcoreano. Le varianti di malware, chiamate COPPERHEDGE, TAINTEDSCRIBE e PEBBLEDASH, possono essere utilizzate per il riconoscimento e l’eliminazione di informazioni riservate sui sistemi target. Il malware TAINTEDSCRIBE […]
Questo digest include regole sia dai membri del Programma Threat Bounty che dal SOC Prime Team. Iniziamo con le regole di Arunkumar Krishna che debutterà nel nostro Rule Digest con CVE-2020-0932: Un errore di esecuzione di codice remoto in Microsoft SharePoint. CVE-2020-0932 è stata corretta a aprile, permette agli utenti autenticati di eseguire codice arbitrario […]
Floxif Trojan è principalmente noto per essere utilizzato dal gruppo Winnti, che lo ha distribuito con CCleaner infettato, scaricato dagli utenti dal sito ufficiale. L’attacco si è verificato a settembre 2017, i responsabili sarebbero riusciti ad accedere all’ambiente di sviluppo di CCleaner. Floxif Trojan è stato utilizzato con Nyetya Trojan per raccogliere informazioni sui sistemi […]