Dall’inizio della pandemia, le soluzioni per videoconferenze sono diventate parte integrante del flusso di lavoro in molte organizzazioni. Inizialmente, Zoom ha preso il comando e molti criminali informatici hanno subito iniziato a utilizzarlo in campagne di phishing, sfruttando il fatto che un gran numero di dipendenti non aveva mai utilizzato prima questa tecnologia. Ben presto, […]
Crediamo che oggi meritatamente conferiamo il titolo di Regola della Settimana all’esclusiva regola Sigma sviluppata da Osman Demir per abilitare il rilevamento del ransomware VHD: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 I primi attacchi che utilizzavano questa variante di ransomware sono iniziati a marzo 2020, e solo di recente i ricercatori hanno collegato loro al Lazarus APT. Ciò è stato […]
Ancora una volta, usciamo dal solito programma di pubblicazione a causa dell’emergere di un exploit per la vulnerabilità critica CVE-2020-3452 in Cisco ASA & Cisco Firepower, così come l’emergere di regole per rilevare lo sfruttamento di questa vulnerabilità . CVE-2020-3452 – un altro mal di testa a luglio CVE-2020-3452 è stata scoperta alla fine dell’anno scorso, […]
Oggi, “Possibile Caricamento DLL Evasivo / Bypass AWL (via cmdline)” la regola rilasciata dal team SOC Prime è finita nella nostra colonna “Regola della Settimana“: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Come sapete, il whitelisting delle applicazioni (AWL) è un approccio proattivo che consente solo l’esecuzione di programmi pre-approvati e specificati. Qualsiasi altro programma non in whitelist è bloccato per […]
Oggi nella sezione Regola della Settimana, suggeriamo di prestare attenzione alla regola pubblicata da Emir Erdogan. La nuova regola aiuta a rilevare il ransomware Thanos, che ha armato la tattica RIPlace per bypassare le soluzioni anti-ransomware: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1 Il ransomware Thanos è apparso per la prima volta alla fine dello scorso anno e i suoi autori […]
Questo mese, i ricercatori hanno scoperto un attacco multi-stadio condotto da un gruppo APT non definito. Durante questo attacco, gli avversari hanno utilizzato la funzione Malleable C2 in Cobalt Strike per effettuare comunicazioni C&C e consegnare il payload finale. I ricercatori notano che gli aggressori utilizzano tecniche di evasione avanzate. Hanno osservato un ritardo intenzionale […]
E ancora, vogliamo evidenziare il contenuto per rilevare il malware QBot nella sezione Rule of the Week. Circa un mese fa, una regola semplice ma efficace di Emir Erdogan è già stata pubblicata in questa sezione. Ma il trojan dodicenne continua ad evolversi, e solo pochi giorni fa sono stati scoperti nuovi campioni di questo […]
Nella Sezione della Settimana presentiamo la Esecuzione Comandi su Azure VM (via azureactivity) regola del Team di SOC Prime: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#   Gli avversari possono abusare delle funzionalità di Azure VM per stabilire un punto d’appoggio in un ambiente, che potrebbe essere utilizzato per mantenere l’accesso e scalare i privilegi. Possono sfruttare la funzione Run Command che […]
Il trojan bancario QakBot (alias QBot) è stato utilizzato in attacchi a organizzazioni per oltre 10 anni, e i suoi autori monitorano continuamente le tendenze del panorama delle minacce aggiungendo nuove funzionalità o rimuovendole se non funzionano correttamente. Nel 2017, questo malware possedeva capacità simili a un worm ed era in grado di bloccare gli […]
Questa settimana vogliamo evidenziare la regola Sigma della comunità creata da Emir Erdogan che aiuta a rilevare il ransomware Nefilim/Nephilim utilizzato in attacchi distruttivi. Questa famiglia di ransomware è stata scoperta per la prima volta due mesi fa, e il suo codice si basa sul ransomware NEMTY, emerso l’estate scorsa come programma affiliato pubblico. Sembra […]