Tag: threat

Proto: N021121. Con la presente CERT-Yoroi riguardo ad una nuova ondata di attacchi che sta impattando l'Europa ai danni delle tecnologie Microsoft Exchange Server, utilizzate per la realizzazione di servizi di posta elettronica on-premise estremamente diffusi in ambiti Enterprise. La criticità è nota con l’identificativo CVE-2021-42321.  La problematica sotto attacco è causata da lacune nella validazione degli input nei parametri di […]

Proto: N011121. Con la presente CERT-Yoroi la informa riguardo al rilevamento di una emergente campagna di attacco rivolta ai danni di tecnologie Sitecore Experience Platform (Sitecore XP), content management system utilizzato per realizzazione di portali web ad alto traffico. La falla è nota con l’identificativo CVE-2021-42237.  La problematica è causa dalla fallace deserializzazione di input utente nel modulo “Report.ashx”, il quale permette ad un attaccante di rete […]

Proto: N041021. Con la presente CERT-Yoroi la informa riguardo al rilevamento di nuove operazioni di attacco che abusano di infrastrutture italiane per bypassare i controlli di sicurezza delle caselle e-mail bersaglio.   In particolare, la campagna di attacco, tracciata internamente da CERT Yoroi con l'identificativo ATK-1613, sfrutta falle di tipo XSS ed Open-Redirect per i controlli antispam perimetrali di URL filtering reputazionali.  Risulta particolarmente importante per tutte […]

Proto: N021021. Con la presente CERT-Yoroi la informa riguardo una importante vulnerabilità sull’applicativo Apache HTTP Server, diffusissimo web server utilizzato per la messa in opera di CMS, e-commerce e portali aziendali. La falla è nota con identificativo CVE-2021-41773.  A causa di lacune nel processamento delle richieste HTTP un attaccante di rete può leggere file arbitrari all’interno del server, esponendo informazioni riservate come credenziali o configurazioni ad attori malevoli.   Il Manutentore ha confermato […]

Introduction  Nowadays ransomware operators have consolidated the double extortion practice by mastering data exfiltration techniques. From time to time, we observed many threat actors approach the data theft in diverse ways, some prefeed to rely on legit services and tools such as RClone, FTP sites, and some through VPN channels, but others also with customized tools.   Also, during the last months the LockBit gang (TH-276) decided to develop and evolve a custom tool specialized in data exfiltration and used as a peculiar element to distinguish their criminal brand. In fact, the StealBit 2.0 tool is part of the […]

Proto: N030921. Con la presente CERT-Yoroi desidera informarla riguardo a vulnerabilità su vari modelli di dispositivi di rete Netgear diffusi in ambiente small e home office (SOHO). Le falle sono note con l'alias "Seventh Inferno" e l'identificativo CVE-2021-41314.  Le problematiche sono causata da lacune nella validazione degli input che rendono possibile ad un attaccante di rete l'esecuzione di comandi arbitrari sul dispositivo Netgear, centro stella di […]

Proto: N020921. Con la presente CERT-Yoroi desidera informarla riguardo alla recente pubblicazione di credenziali aziendali all'interno del circuito criminale Groove (TH-306). Groove è un gruppo cyber criminale specializzato in attacchi ransomware  a doppia estorsione (double extortion) comparso nello scenario underground ad Agosto 2021.  Recentemente, il gruppo ha rilasciato una serie di dati relativi a credenziali aziendali potenzialmente utilizzabili per l'autenticazione a servizi SSL VPN esposti ad internet. Potenzialmente, le credenziali […]

Proto: N010921. Con la presente CERT-Yoroi desidera informarla riguardo alla recente pubblicazione di dettagli tecnici su gravi vulnerabilità all'interno delle tecnologie Microsoft Exchange Server, servizi di posta on premise ampiamente utilizzati in ambito Enterprise e SMB. La falla è nota con l'alias "PROXYTOKEN" e con l'identificativo CVE-2021-33766.  La problematica è causata in lacune nella gestione delle autenticazioni utente tra le interfacce di servizio frontend e backend  di Exchange Server, […]

Introduction  When threat actors evolve, their tools do so. Observing the evolution of the threats we track during our cyber defense operations is part of what we do to secure our customers. Back in 2019, the Yoroi’s Malware ZLAB unit discovered a complete new malware implant named “JsOutProx” (TH-264), a complex JavaScript-based RAT used to attack financial institutions in the APAC area.   In the last two years, the evolution of this implant was clear. After our initial discovery, many security research teams started monitoring this elusive […]

Proto: N030721. Con la presente, CERT-Yoroi desidera informarla relativamente a una grave vulnerabilità che affligge SolarWinds Serv-U, componente del noto strumento di orchestrazione degli apparati di rete ampiamente utilizzato in ambienti Entreprise. La criticità è nota con l’identificativo CVE-2021-35211.  In particolare, la vulnerabilità è causata da delle lacune nella gestione della memoria all’interno dei moduli “Serv-U Managed File Transfer” e “Serv-U Secure FTP”, le quali permettono […]

Proto: N020721. Con la presente, CERT-Yoroi desidera informarla relativamenta al grave attacco ransmware ai danni di Kaseya, azienda produttrice del noto software VSA  per la gestione delle infrastrutture IT aziendali.  L’attacco è avvenuto 2 Luglio ed affiliati del gruppo REvil (TH-200) hanno forzato un aggiornamento malevolo nel ciclo di rilascio degli appliance VSA. L’aggiornamento malevolo rilasciato è volto ad infettare gli appliance VSA e lanciare codice di attacco ransomware attraverso […]

Introduction  During the last months, a huge interest from security researchers was directed to Microsoft Exchange Server, one of the most adopted email technologies worldwide. In fact, starting from March 2021, when the ProxyLogon vulnerability has been publicly disclosed, we identified and kept track of many opportunistic attacks hitting this kind of services and we noticed that in some way Exchange services have been targeted by attacks both in APT and cyber-crime […]