Yoroi Blog

Proto: N021221. Con la presente CERT-Yoroi desidera informarla riguardo alla recente scoperta di operazioni di attacco malware ai danni delle tecnologie HP Proliant Server, mirate alla compromissione del firmware di gestione iLO delle macchine server.   Le campagne di attacco hanno come obiettivo l’installazione di un modulo firmware malevolo denominato “Implant.ARM.iLOBleed.a”.  Il rootkit ha la funzionalità di “wiper” silente: viene programmato per rimanere inattivo ed invisibile per […]

Introduction  Threat actors' consistency over time represents an indication of effectiveness and experience, resulting in an increasing risk for targeted companies.  The Yoroi Malware ZLAB is tracking the threat actor Aggah (TH-157) since 2019, along with PaloAlto UNIT42, HP and Juniper Networks, and the persistency of its malicious operation over time reveals a structured information stealing infrastructure, a worldwide campaign capable of quickly varying its distribution technique.  We discovered new data theft and reconnaissance operations targeting multiple victims worldwide, including Ukraine, Lithuania, and Italy. The whole campaign impacted hundreds of victims and lasted for two months. CERT Yoroi was able to track the malware […]

Proto: N011221. Con la presente CERT-Yoroi intende informarla riguardo una nuova ondata di attacchi di portata globale diretta a tutti applicativi JavaEE che utilizzano la libreria di logging Log4J. La vulnerabilità è nota con identificativo CVE-2021-44228 e nota con l’alias “Log4Shell”.  A causa di lacune nella fase di acquisizione e deserializzazione dei log, il flusso di esecuzione del componente JNDI gestito dalla libreria Log4J può essere alterato inserendo nei log applicativi una specifica stringa malevola.   In particolare, un attaccante […]

Proto: N041121. Con la presente CERT-Yoroi desidera informarla riguardo una nuova ondata di attacchi di portata globale diretta verso infrastrutture Microsoft Exchange Server. La vulnerabilità sfruttata è nota con identificativo CVE-2021-42321  La problematica, già segnalata nel bollettino N021121, mantiene le stesse modalità di exploiting, permettendo ad un attaccante in possesso di credenziali non privilegiate di iniettare ed eseguire codice malevolo sul server di posta vulnerabile.  I nuovi attacchi sono però scatenati dal recente rilascio di strumenti tecnici in grado di sfruttare la falla, disponibili pubblicamente; questo consente scenari di attacco diretti su infrastrutture Microsoft Exchange esposti su internet, attraverso i quali è perciò possibile insinuarsi nella rete aziendale vittima.  Solitamente attacchi di questo tipo sono seguiti da attività malevole più avanzate che includono la distribuzione di ransomware.  Il bollettino di Microsoft rilasciato durante il patch tuesday di novembre 2021 contiene tutte le informazioni necessarie all’aggiornamento delle macchine vulnerabili, per le quali le patch correttive risultano ancora valide.  Considerata l’esposizione internet delle tecnologie, la diffusione nelle aziende di quest’ultime, la conferma di ondate di attacchi in corso, […]

Proto: N031121. Con la presente CERT-Yoroi riguardo alla recente circolazione negli ambienti undergroud cyber-criminali di dati realtivi ad impiegati e dirigenti di organizzazioni italiane di rilievo nei settori finanziario e bancario.  E' stata infatti rilevata la pubblicazione di 3887 contatti telefonici ed email di personale di alto profilo di centinaia di aziende private e pubbliche, condizione che aumenta il rischio frode (e.g. CEO-Fraud), e di cyber attacchi basati su tecniche di Social Engineering per le organizzazioni coinvolte.   Figura. Pubblicazione dati dirigenti fintech italiani ed europei  Considerato il contesto del rilevamento e la tipologia di personale coinvolto, CERT Yoroi consiglia di sensibilizzare gli utenti coinvolti ed il personale di collaborazione riguardo al rischio di eventuali contatti e richieste inattese via email e telefono, e nel caso, di segnalare l’accaduto agli uffici di sicurezza interni.  Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del […]

Introduction  Contrasting the malware delivery is hard. Cyber attackers evolve their techniques frequently, but a major trend remained constant: Microsoft Office and Excel documents represent the favorite delivery method many cyber criminals use to inoculate malware into private and public companies. This technique is extremely flexible and both opportunistic and APT actors abuse it.  In the last months, we monitored with particular attention several attack waves adopting a new delivery technique: binary libraries directly loaded by Microsoft Excel, just in one click. This emergent delivery technique leverages XLL files, a particular file type containing a Microsoft Excel application ready to be loaded. […]

Proto: N021121. Con la presente CERT-Yoroi riguardo ad una nuova ondata di attacchi che sta impattando l'Europa ai danni delle tecnologie Microsoft Exchange Server, utilizzate per la realizzazione di servizi di posta elettronica on-premise estremamente diffusi in ambiti Enterprise. La criticità è nota con l’identificativo CVE-2021-42321.  La problematica sotto attacco è causata da lacune nella validazione degli input nei parametri di […]

Proto: N011121. Con la presente CERT-Yoroi la informa riguardo al rilevamento di una emergente campagna di attacco rivolta ai danni di tecnologie Sitecore Experience Platform (Sitecore XP), content management system utilizzato per realizzazione di portali web ad alto traffico. La falla è nota con l’identificativo CVE-2021-42237.  La problematica è causa dalla fallace deserializzazione di input utente nel modulo “Report.ashx”, il quale permette ad un attaccante di rete […]

Introduction  Cybercrime is today the first threat for businesses and actors are still evolving their malicious business models. In fact, the criminal ecosystem goes beyond the Malware-as-a-Service, many malware developers are increasing their dangerousness by providing infrastructure rental services included in the malicious software fee. This trend is slowly widening the audience of new hackers joining the criminal communities. As Malware ZLAB we constantly monitor this trend to ensure defense capabilities to constituency and partner organizations rely on Yoroi's services to defend their business, and recently we noticed […]

Proto: N041021. Con la presente CERT-Yoroi la informa riguardo al rilevamento di nuove operazioni di attacco che abusano di infrastrutture italiane per bypassare i controlli di sicurezza delle caselle e-mail bersaglio.   In particolare, la campagna di attacco, tracciata internamente da CERT Yoroi con l'identificativo ATK-1613, sfrutta falle di tipo XSS ed Open-Redirect per i controlli antispam perimetrali di URL filtering reputazionali.  Risulta particolarmente importante per tutte […]

Proto: N031021. Con la presente CERT-Yoroi la informa riguardo ad un'importante falla per Apple iOS e iPadOS, sistema operativo di smartphone e dispositivi mobili Apple. La vulnerabilità è nota con l'identificativo CVE-2021-30883.  La problematica è dovuta a delle lacune nella gestione della memoria del componente “IOMobileFrameBuffer”, adibito alla gestione dell’interfaccia grafica del sistema operativo. Tramite questa falla, un attaccante può eseguire codice arbitrario privilegiato sul dispositivo vulnerabile.  Tale condizione abilita i […]

Proto: N021021. Con la presente CERT-Yoroi la informa riguardo una importante vulnerabilità sull’applicativo Apache HTTP Server, diffusissimo web server utilizzato per la messa in opera di CMS, e-commerce e portali aziendali. La falla è nota con identificativo CVE-2021-41773.  A causa di lacune nel processamento delle richieste HTTP un attaccante di rete può leggere file arbitrari all’interno del server, esponendo informazioni riservate come credenziali o configurazioni ad attori malevoli.   Il Manutentore ha confermato […]