Yoroi Blog

For months, we at Yoroi Malware ZLab have studied and tracked the evolution of a new emerging cyber-criminal group which has attracted the attention of everyone inside the cyber security threat landscape. This threat actor calls itself “Eternity Group”, previously “Jester Group”, which we internally tracked it as “TH-320”. This threat has also recently been […]

Proto: N010522. Con la presente CERT-Yoroi desidera informarla riguardo una vulnerabilità su Dell iDRAC9, nota con identificativo CVE-2022-24422. Versioni Dell iDRAC9 5.00.00.00 e successive e prima di 5.10.10.00, contengono una vulnerabilità di autenticazione impropria. Dell iDRAC9 potrebbe consentire ad un utente malintenzionato di aggirare, da remoto, le restrizioni di sicurezza causate da un'autenticazione impropria. Inviando […]

Proto: N020422. Con la presente CERT-Yoroi desidera informarla riguardo una grave vulnerabilità su Cisco Umbrella, nota con identificativo CVE-2022-20773. Il sistema di autenticazione SSH nel Cisco Umbrella Virtual Appliance (VA) utilizza una chiave host statica, la quale permette ad un attaccante remoto non autenticato di impersonare un VA. L'attaccante, all'interno della rete, può effettuare un attacco […]

Proto: N010422. Con la presente CERT-Yoroi desidera informarla riguardo una grave vulnerabilità su Spring Framework, nota con identificativo CVE-2022-22965 e conosciuta con l’alias Spring4shell. La falla risiede nella errata implementazione delle politiche di sicurezza delle funzioni che utilizzano l'annotazione @RequestMapping e i parametri POJO (Plain Old Java Object). Per cui un attaccante di rete non […]

Introduction  Since 27 February 2022, a few days after the apparition of the Conti’s gang support to the Russian invasion of the Ukrainian national territory, a new mysterious Twitter account appeared, “@ContiLeaks”. Nobody knows for sure who operates it, maybe a reluctant Conti gang member, some foreign intelligence, or police officer, but does not matter […]

Introduction  During the early hours of Thursday 24 February 2022, Russia launched an attack on the country of Ukraine due to the ongoing dispute over its possible inclusion within NATO countries. This event has led to a tense geo-political climate within the eurozone.  All the shared Initial information shows that the attack by Russian troops […]

A seguito delle comunicazioni emergenziali ricevute il 24 Febbraio 2022 da parte della rete di CERT europei Trusted Introducer relativamente alle escalation cyber correlate alle operazioni militari in Ucraina, CERT-Yoroi ha proceduto con elevata urgenza alla preparazione delle misure di contenimento di potenziali scenari di attacchi cyber indirizzati verso infrastrutture strategiche italiane.  CERT-Yoroi ha provveduto […]

Proto: N010122. Con la presente CERT-Yoroi desidera informarla riguardo due importanti vulnerabilità di tipo Privilege Escalation, le vulnerabilità affliggono sia sistemi operativi Microsoft che sistemi operativi Linux. La prima vulnerabilità, nota con identificativo CVE-2022-21882, risiede nei moduli kernel “Win32k.sys” dei sistemi operativi Microsoft Windows, e, a causa di alcune lacune gestione della memoria, permette ad un attaccante […]

Proto: N021221. Con la presente CERT-Yoroi desidera informarla riguardo alla recente scoperta di operazioni di attacco malware ai danni delle tecnologie HP Proliant Server, mirate alla compromissione del firmware di gestione iLO delle macchine server.   Le campagne di attacco hanno come obiettivo l’installazione di un modulo firmware malevolo denominato “Implant.ARM.iLOBleed.a”.  Il rootkit ha la funzionalità di “wiper” silente: viene programmato per rimanere inattivo ed invisibile per […]

Introduction  Threat actors' consistency over time represents an indication of effectiveness and experience, resulting in an increasing risk for targeted companies.  The Yoroi Malware ZLAB is tracking the threat actor Aggah (TH-157) since 2019, along with PaloAlto UNIT42, HP and Juniper Networks, and the persistency of its malicious operation over time reveals a structured information stealing infrastructure, a worldwide campaign capable of quickly varying its distribution technique.  We discovered new data theft and reconnaissance operations targeting multiple victims worldwide, including Ukraine, Lithuania, and Italy. The whole campaign impacted hundreds of victims and lasted for two months. CERT Yoroi was able to track the malware […]

Proto: N011221. Con la presente CERT-Yoroi intende informarla riguardo una nuova ondata di attacchi di portata globale diretta a tutti applicativi JavaEE che utilizzano la libreria di logging Log4J. La vulnerabilità è nota con identificativo CVE-2021-44228 e nota con l’alias “Log4Shell”.  A causa di lacune nella fase di acquisizione e deserializzazione dei log, il flusso di esecuzione del componente JNDI gestito dalla libreria Log4J può essere alterato inserendo nei log applicativi una specifica stringa malevola.   In particolare, un attaccante […]

Proto: N041121. Con la presente CERT-Yoroi desidera informarla riguardo una nuova ondata di attacchi di portata globale diretta verso infrastrutture Microsoft Exchange Server. La vulnerabilità sfruttata è nota con identificativo CVE-2021-42321  La problematica, già segnalata nel bollettino N021121, mantiene le stesse modalità di exploiting, permettendo ad un attaccante in possesso di credenziali non privilegiate di iniettare ed eseguire codice malevolo sul server di posta vulnerabile.  I nuovi attacchi sono però scatenati dal recente rilascio di strumenti tecnici in grado di sfruttare la falla, disponibili pubblicamente; questo consente scenari di attacco diretti su infrastrutture Microsoft Exchange esposti su internet, attraverso i quali è perciò possibile insinuarsi nella rete aziendale vittima.  Solitamente attacchi di questo tipo sono seguiti da attività malevole più avanzate che includono la distribuzione di ransomware.  Il bollettino di Microsoft rilasciato durante il patch tuesday di novembre 2021 contiene tutte le informazioni necessarie all’aggiornamento delle macchine vulnerabili, per le quali le patch correttive risultano ancora valide.  Considerata l’esposizione internet delle tecnologie, la diffusione nelle aziende di quest’ultime, la conferma di ondate di attacchi in corso, […]