Yoroi Blog

Introduction Recently we have observed a significant increase in state-sponsored operations carried out by threat actors worldwide. APT34, Gamaredon, and Transparent Tribe are a few samples of the recently uncovered campaigns, the latter was spotted after four years of apparent inactivity. Cybaze-Yoroi ZLab decided to study in depth a recent threat attributed to a North Korean APT dubbed Kimsuky. […]

Introduction In November 2018, researchers from Cisco Talos tracked and detailed a “DNSEspionage” campaign against targets in Lebanon and UAE. At the time of the report, the threat actor carried out a cyber espionage campaign by redirecting DNS traffic from domains owned by the Lebanon government to target entities in the country. In April 2019, Cisco Talos discovered […]

Proto: N010320. Con la presente Yoroi desidera aggiornarla relativamente alla vulnerabilità “GhostCat” recentemente scoperta all’interno dei servizi Apache Tomcat, Application Server diffuso anche in ambienti enterprise. La criticità è stata segnalata inizialmente segnalata con il bollettino N050220.   Durante il weekend sono state registrate attività di attacco volte a sfruttare la vulnerabilità sui servizi  Tomcat AJP esposti su internet (porta di […]

Proto: N060220. Con la presente Yoroi desidera informarLa ad una vulnerabilità 0-Day scoperta su Google Chrome, il web browser più diffuso in ambito privato e tra i più utilizzati anche in ambienti professionali. La criticità è nota con l’identificativo CVE-2020-6418. La problematica è causata da lacune nella gestione dei tipi di dato all’interno del motore JavaScript V8 di Google […]

Introduction Nowadays, it is common to say that the physical world and the cyber world are strictly connected. The proof is the leverage of the current physical threat, the CoronaVirus, as a social engineering trick to infect the cyber world. It is not new for cyber-crooks to exploit social phenomena to spread malware in order […]

Proto: N050220. Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di una grave vulnerabilità all’interno dei Apache Tomcat, noto Application Server utilizzato per la realizzazione applicazioni anche in ambienti enterprise. La criticità è nota con l’alias “GhostCat”, referenziata con gli identificativi CVE-2020-1398 e CNVD-2020-10487.  La problematica è causata da lacune nella gestione degli input utente all’interno del […]

Introduction Operation Transparent Tribe was first spotted by Proofpoint Researchers in Feb 2016, in a series of espionages operations against Indian diplomats and military personnel in some embassies in Saudi Arabia and Kazakhstan. At that time, the researchers tracked the sources IP in Pakistan, the attacks were part of a wider operation that relies on multi vector such […]

Proto: N040220. Con la presente Yoroi desidera informarLa ad un nuova campagna di attacco in corso ai danni di Aziende e utenti italiani. Gli attacchi si manifestano attraverso l’invio di email fraudolente a tema legale che invitano le vittime a scaricare e visionare li contenuto di un archivio compresso infetto. L’archivio, una volta aperto, è potenzialmente in […]

About a year ago, we publicly released the Yomi Hunter sandbox for a few simple reasons: in Yoroi we believe in the InfoSec community value, we think it plays a central role in the fight of cyber-threats and we feel the need to support it.  Our sentiment regarding the InfoSec community led us to support […]

Introduction  Gamaredon Group is a Cyber Espionage persistent operation attributed to Russians FSB (Federal Security Service) in a long-term military and geo-political confrontation against the Ukrainian government and more in general against the Ukrainian military power.  Gamaredon has been active since 2014, and during this time, the modus operandi has remained almost the same. The […]

Proto: N030220. Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di gravi vulnerabilità all’interno di Exchange Server, nota soluzione di gestione posta elettronica di Microsoft estremamente diffusa sia in ambito Enterprise sia nella PMI. In particolare le vulnerabilità sono note con gli identificativi CVE-2020-0692 e CVE-2020-0688. Le problematiche sono relative a due diverse […]

Proto: N020220 . Con la presente Yoroi desidera informarLa riguardo alla scoperta di gravi vulnerabilità in molteplici tecnologie Cisco, comprendenti più famiglie di switch di rete, appliance di sicurezza, telefonia VoIP e dispositivi di videosorveglianza. Le criticità sono note con l’alias “CDPwn” e sono referenziate con gli identificativi CVE-2020-3119, CVE-2020-3118, CVE-2020-3111, CVE-2020-3110 e CVE-2020-3120. Benché le […]