Difesa e Sicurezza
Notepad++: Analisi del Malware RedLine – Parte 2
Analisi del Malware RedLine inserito all’interno di una falsa installazione del software Notepad++
Attualità
Exploitation massiva – VMware Horizon
Il 23 dicembre il team di Fortgale ha gestito un tentativo di compromissione, individuando in seguito un attacco in massa il cui vettore di attacco è una vulnerabilità del prodotto VMWare Horizon. L’attacco avrebbe permesso agli attaccanti di installare una backdoor all’interno del server e, conseguentemente, eseguire codice arbitrario da Leggi tutto…
Difesa e Sicurezza
Dettagli di un attacco – Ransomware Conti
Quando si tratta di Ransomware, le modalità con cui i vari operatori eseguono l’attacco possono essere molto diverse fra loro. In questo articolo condividiamo alcuni dettagli tecnici osservati durante la fase di compromissione dagli operatori della Gang del Ransomware Conti, particolarmente attiva e fra i più maturi nel panorama (riferimento). Leggi tutto…
Difesa e Sicurezza
Vulnerabilità MSHTML: Difesa e Threat Hunting
Attività di Threat Hunting event_platform=win event_simpleName=PeFileWritten | search FileName=”*.inf” | stats dc(aid) as uniqueSystems, count(aid) as totalWrites values(FilePath) as filePaths by FileName | sort + totalWrites event_platform=win event_simpleName=ProcessRollup2 FileName=rundll32.exe ParentBaseFileName=control.exe | search CommandLine=”*.inf*” | stats dc(CommandLine) as cmdLineVarations dc(aid) as uniqueEndpoints count(aid) as totalExecutions values(CommandLine) as commandLines by FileName, ParentBaseFileName Leggi tutto…
Attualità
Software Atera come Backdoor durante Cyber-Attack
Wizard Spider e il Ransomware Conti Atera come Backdoor
Difesa e Sicurezza
I Black Market: Come sono organizzati e quali dati contengono
La schermata di Login: Stealer Logs RDP DUMP e CVV compromissione di Workstation (risultato Stealer Logs); compromissione sito Web/E-Commerce
Difesa e Sicurezza
Le vulnerabilità più di tendenza tra i Cybercriminali
CVE-2020-1472 – Attacco protocollo SMB per Lateral Movement e perimetro CVE-2020-0796 – Attacco protocollo SMB per Lateral Movement e perimetro CVE-2019-19781 – Attacco sistemi Citrix CVE-2019-0708 – BlueKeep, attacco al servizio RDP CVE-2017-11882 – Attacco tramite e-mail e allegato CVE-2017-0199 – Attacco tramite e-mail e allegato CVE-2020-1472 CVE-2020-0796 CVE-2019-19781 CVE-2019-0708 CVE-2017-11882 CVE-2017-0199
Attualità
Worm WannaMine: Analisi e intervento
Analisi catena di Compromissione Avvio della compromissione Persistenza SCM Event8 Log Consumer viene eseguito circa ogni 4 ore in modo tale da riprendere il processo di infezione nel caso in cui precedentemente tale processo fosse fallito; SCM Event8 Log Consumer2 viene eseguito 4/5 minuti dopo l’avvio del sistema. Lateral Movement Leggi tutto…
