Blog · research & analysis
Dettagli sulla Minaccia Mitigazione Disabilitazione del servizio Determine if the Print Spooler service is running Run the following: Get-Service -Name Spooler If the Print Spooler is running or if the service is not set to disabled, select one of the following options to either disable the Print Spooler service, or to Disable inbound remote printing … Read more
Un attacco Ransomware ha colpito l’azienda Kaseya, azienda sviluppatrice di software per la gestione e supporto IT e che eroga servizi in modalità MSP. Seguendo quanto già visto durante l’attacco SolarWinds, i criminali hanno attaccato l’azienda produttrice del software inserendo codice malevolo all’interno di un falso aggiornamento del prodotto. Colpendo Kaseya, gli attaccanti sono riusciti … Read more
Il famoso gruppo criminale Pinchy Spider, noto per il suo Raas (Ransomware as a Serice) Revil, ha sviluppato un nuovo ransowmare, denominato REvix, con l’obiettivo di colpire gli ambienti Linux ed ESXi. Il nuovo ransomware permetterà agli affiliati di avere una maggior superficie di attacco e di conseguenza maggiori possibilità di chiedere un riscatto. Obiettivi … Read more
Nelle ultime settimane è stata rilevata una campagna malware Ursnif con l’obiettivo di colpire gli utenti italiani che utilizzano l’online banking. Una volta infettato il computer della vittima, Ursnif attende che l’utente si colleghi al proprio sito di online banking e attraverso una web injection avvisa gli utenti che non potranno più utilizzare il servizio … Read more
Analisi ESET: https://www.welivesecurity.com/2021/06/10/backdoordiplomacy-upgrading-quarian-turian/ Somiglianze con gruppi noti Catena di Compromissione EarthWorm, un semplice tunnel di rete con server SOCKS v5 e funzionalità di trasferimento porte Mimikatz Nbtscan, uno scanner da riga di comando per NetBIOS NetCat, un’utility di rete che legge e scrive dati attraverso connessioni di rete PortQry, uno strumento per mostrare lo stato … Read more
I sample rilevati instaurano una connessione con l’indirizzo IP 63.141.228[.]141. IOC Allegato ZIP: MD5 7dcd5b2527962fffbfb47aaafd8017cf SHA-1 7acc748b915a7c2e0dd6f89bc35653477d3f8ea5 SHA-256 7804087ee95b9c0f488db921f24e4aa69df6ee10189d1399fe7dfb8383b1c6f5 Immagine ISO: MD5 c35c0bc696ba1a1f1a843ce6d4a63818 SHA-1 8cf0ff7c7f6635d6fe116b30ddd78aca14a35851 SHA-256 12eed57e3431669c9b53a3ac1a556617df0894b078cd0227cfebc15e9e67df8f Eseguibile: MD5 e54937c7d7e2cac41541e6a416c9cb90 SHA-1 1c43eae1d54d7d242ccd223b6b23a6a4fa21a8a3 SHA-256 0c4efefcd2850c9764e65fb0f5a084573dfb65c7103b4513781c02e06e21c83a Altri eseguibili: SHA-256 3e56d9df1d14f5758330600d1d2fd098a173842fae0447bdf8e6d97a4d2c7162 SHA-256 254de372db20f35fb440552d22068d975bfb6fafd7902d2826318033b01428a8 SHA-256 ced5590738ce4d32f26c917992c21656c60a5ed3a2fffb02beb5b09b1d5d626f SHA-256 1eb22488631a731f6fc27ad209f386b8b0aa6181016badff86ee36bc2e42a256 SHA-256 c252af943c2c85f2c3dfcbca5d16877d61aca44d462f088a4a8baacacf59a3ae Indirizzi contattati: manvim[.]co 35.193.27[.]228 63.141.228[.]141
La Difesa di Fortgale Per maggiori informazioni: contatti
