Questo digest include regole sia dai membri del Programma Threat Bounty che dal SOC Prime Team. Iniziamo con le regole di Arunkumar Krishna che debutterà nel nostro Rule Digest con CVE-2020-0932: Un errore di esecuzione di codice remoto in Microsoft SharePoint. CVE-2020-0932 è stata corretta a aprile, permette agli utenti autenticati di eseguire codice arbitrario […]
Questa settimana vogliamo evidenziare la regola Sigma della comunità creata da Emir Erdogan che aiuta a rilevare il ransomware Nefilim/Nephilim utilizzato in attacchi distruttivi. Questa famiglia di ransomware è stata scoperta per la prima volta due mesi fa, e il suo codice si basa sul ransomware NEMTY, emerso l’estate scorsa come programma affiliato pubblico. Sembra […]
Remcos RAT è stato individuato per la prima volta nel 2016. Ora si presenta come uno strumento legittimo di accesso remoto, ma è stato utilizzato in numerose campagne globali di hacking. Su vari siti e forum, i cybercriminali pubblicizzano, vendono e offrono la versione crackata di questo malware. Dalla fine di febbraio, i ricercatori di […]
Floxif Trojan è principalmente noto per essere utilizzato dal gruppo Winnti, che lo ha distribuito con CCleaner infettato, scaricato dagli utenti dal sito ufficiale. L’attacco si è verificato a settembre 2017, i responsabili sarebbero riusciti ad accedere all’ambiente di sviluppo di CCleaner. Floxif Trojan è stato utilizzato con Nyetya Trojan per raccogliere informazioni sui sistemi […]
Continuiamo a richiamare la vostra attenzione su regole le cui capacità vanno oltre i più comuni contenuti di rilevamento che analizzano i log di Sysmon. Oggi nel nostro digest ci sono due regole per rilevare attacchi ai Web Server, una continuazione di una serie di regole (1, 2) per scoprire tracce di attacchi del gruppo […]
Un articolo pubblicato di recente “SIGMA vs Indicatori di Compromissione” di Adam Swan, il nostro Ingegnere Senior di Threat Hunting, dimostra i benefici delle regole Sigma per la caccia alle minacce rispetto ai contenuti basati su IOC. Anche se non possiamo trascurare le regole Sigma IOC, poiché possono aiutare a identificare un fatto di compromissione, inoltre, […]
Nuova regola Sigma di Osman Demir aiuta a rilevare attacchi di phishing correlati al COVID-19 mirati ai fornitori medici. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/ La campagna è diventata nota alla fine della scorsa settimana e i ricercatori credono che sia associata a truffatori 419 che sfruttano la pandemia di COVID-19 per attacchi Business Email Compromise. Gli avversari inviano email […]
Questa settimana, le regole per rilevare malware e attività APT, sia del nostro team che dei partecipanti del programma di ricompense SOC Prime Threat Bounty Program sono finite sotto i riflettori. Nei resoconti, cerchiamo di attirare la vostra attenzione su regole interessanti pubblicate nell’ultima settimana. APT StrongPity di Ariel Millahuel https://tdm.socprime.com/tdm/info/lC2OEeruDxdg/fos3nHEB1-hfOQir9NI-/?p=1 L’APT StrongPity (aka […]
La backdoor Bladabindi è conosciuta almeno dal 2013, i suoi autori monitorano le tendenze della cybersecurity e migliorano la backdoor per evitarne il rilevamento: la ricompilano, aggiornano e rincorporano, per cui il contenuto di rilevamento basato su IOCs è quasi inutile. Nel 2018, la backdoor Bladabindi è diventata fileless ed è stata utilizzata come payload […]
La regola esclusiva ‘Process Injection by Ursnif (Dreambot Malware)’ di Emir Erdogan è rilasciata su Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/ Il Trojan bancario Ursnif è stato utilizzato dagli avversari in varie modifiche per circa 13 anni, guadagnando costantemente nuove funzionalità e acquisendo nuovi trucchi per evitare le soluzioni di sicurezza. Il suo codice sorgente è stato […]