Yoroi Blog

In 2018 cyber-security experts observed an increased number of cyber attacks, malware endure to be the most aggressive and pervasive threat. For this reason, analyzing the last year occurred events would help cyber-security professionals to prevent further attacks during the next few months. In many cases the attacks reached a very high sophistication levels, both […]

We are pleased to announce that Yomi the Malware Hunter has successfully completed the on-boarding in the VirusTotal MultiSandbox Program! Official VirusTotal Announce: https://blog.virustotal.com/2019/05/virustotal-multisandbox-yoroi-yomi.html Yoroi can now contribute to the fight against malware threats sharing its TLP:WHITE analysis with Chronicle Security, the Alphabet’s subsidiary author of the notorious VirusTotal Threat Intelligence platform: one of the […]

Proto: N020519. Con la presente Yoroi desidera informarLa relativamente ad una pericolosa campagna di attacco in corso ai danni di Organizzazioni italiane. Sono state infatti intercettate email dirette a caselle di Posta Elettronica Certificata (PEC) contenenti allegati infetti. I messaggi tentano di ingannare l’utente simulando comunicazioni legate a problematiche amministrative, tuttavia al loro interno sono […]

Introduction In the first days of April, our threat monitoring operations spotted a new interesting malware sample possibly active in the wild since 2017. Its initial triage suggests it may be part of an advanced attacker arsenal targeting the Banking sector, possibly related to the same APT group Kaspersky Lab tracked two years ago after […]

Proto: N010519. Con la presente Yoroi desidera informarLa relativamente ad una importante vulnerabilità all’interno degli appliance Cisco Nexus 9000, core-switch tipicamente utilizzati data center ed infrastrutture cloud. La criticità è nota con l’identificativo CVE-2019-1804. La problematica è originata da gravi lacune nella gestione delle chiavi di autenticazione nella modalità di funzionamento ACI (Application Centric Infrastructure), […]

Proto: N050419. Con la presente Yoroi desidera informarLa relativamente ad una vulnerabilità recentemente scoperta all’interno dei servizi NTP (Network Time Protocol), standard de-facto per la sincronizzazione degli orologi di sistema di una grandissima porzione di dispositivi connessi in rete. La criticità è nota con l’identificativo CVE-2019-11331. La problematica è originata dall’uso improprio della porta udp/123, […]

Introduction Few days after the publication of our technical article related to the evidence of possible APT28 interference in the Ukrainian elections, we spotted another signal of a sneakier on-going operation. This campaign, instead, seems to be linked to another Russian hacking group: Gamaredon.  The Gamaredon APT was first spotted in 2013 and in 2015, […]

Proto: N04419. Con la presente Yoroi desidera informarLa relativamente ad una recente ondata di attacchi rivolta ad utenti ed organizzazioni italiane. I messaggi di posta fraudolenti intercettati simulano l’invio di documentazione e copia di fatture, tuttavia al loro interno contengono documenti Excel malevoli in grado di infettare la vittima con un impianto malware della famiglia […]

Proto: N030419. Con la presente Yoroi desidera informarLa relativamente ad una pericolosa vulnerabilità all’interno delle piattaforma di servizio Oracle WebLogic, alla base di numerose applicazioni e portali web enterprise fondati su tecnologia Java. La criticità è nota con l’identificativo CNVD-C-2019-48814. La problematica è originata da gravi lacune di validazione degli input durante le routine di […]

Introduction The uncertain attribution of the Ukrainian themed malicious document discussed in our past article “APT28 and Upcoming Elections: Possible Interference Signals”, led us to a review of Sofacy’s phishing techniques to confirm or deny the possible involvement of Russian state-sponsored actors in the election interference. We ended up in an old fake Hotel reservation […]

Proto: N020419. Con la presente Yoroi desidera informarLa relativamente ad una estesa campagna di attacco rivolta ad aziende ed utenze italiane. Le email fraudolente contengono allegati in formato HTML i quali, una volta aperti, invitano allo scaricamento di un archivio compresso capace di infettare la macchina con una pericolosa backdoor della famiglia sLoad, in grado […]

Introduction In mid-March, a suspicious Office document referencing the Ukraine elections appeared in the wild. This file was uncommon, it seemed carefully prepared and was speaking about who is leading in the elections polls, arguing about the life of the favorite candidate, Volodymyr Zelenskiy, who is defined Servant of the People, along with a strong […]