Logo
Hamburger Menu Icon
Yoroi Background

Tag: threat

A deep dive into Eternity Group: A new emerging Cyber Threat

For months, we at Yoroi Malware ZLab have studied and tracked the evolution of a new emerging cyber-criminal group which has attracted the attention of everyone inside the cyber security threat landscape. This threat actor calls itself “Eternity Group”, previously “Jester Group”, which we internally tracked it as “TH-320”. This threat has also recently been […]

Read More

Serverless InfoStealer delivered in Est European Countries

Introduction  Threat actors' consistency over time represents an indication of effectiveness and experience, resulting in an increasing risk for targeted companies.  The Yoroi Malware ZLAB is tracking the threat actor Aggah (TH-157) since 2019, along with PaloAlto UNIT42, HP and Juniper Networks, and the persistency of its malicious operation over time reveals a structured information stealing infrastructure, a worldwide campaign capable of quickly varying its distribution technique.  We discovered new data theft and reconnaissance operations targeting multiple victims worldwide, including Ukraine, Lithuania, and Italy. The whole campaign impacted hundreds of victims and lasted for two months. CERT Yoroi was able to track the malware […]

Read More

Attacchi Log4J in the wild

Proto: N011221. Con la presente CERT-Yoroi intende informarla riguardo una nuova ondata di attacchi di portata globale diretta a tutti applicativi JavaEE che utilizzano la libreria di logging Log4J. La vulnerabilità è nota con identificativo CVE-2021-44228 e nota con l’alias “Log4Shell”.  A causa di lacune nella fase di acquisizione e deserializzazione dei log, il flusso di esecuzione del componente JNDI gestito dalla libreria Log4J può essere alterato inserendo nei log applicativi una specifica stringa malevola.   In particolare, un attaccante […]

Read More

Leak di dati di dirigenti italiani ed europei

Proto: N031121. Con la presente CERT-Yoroi riguardo alla recente circolazione negli ambienti undergroud cyber-criminali di dati realtivi ad impiegati e dirigenti di organizzazioni italiane di rilievo nei settori finanziario e bancario.  E' stata infatti rilevata la pubblicazione di 3887 contatti telefonici ed email di personale di alto profilo di centinaia di aziende private e pubbliche, condizione che aumenta il rischio frode (e.g. CEO-Fraud), e di cyber attacchi basati su tecniche di Social Engineering per le organizzazioni coinvolte.   Figura. Pubblicazione dati dirigenti fintech italiani ed europei  Considerato il contesto del rilevamento e la tipologia di personale coinvolto, CERT Yoroi consiglia di sensibilizzare gli utenti coinvolti ed il personale di collaborazione riguardo al rischio di eventuali contatti e richieste inattese via email e telefono, e nel caso, di segnalare l’accaduto agli uffici di sicurezza interni.  Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del […]

Read More

Office Documents: May the XLL technique change the threat Landscape in 2022?

Introduction  Contrasting the malware delivery is hard. Cyber attackers evolve their techniques frequently, but a major trend remained constant: Microsoft Office and Excel documents represent the favorite delivery method many cyber criminals use to inoculate malware into private and public companies. This technique is extremely flexible and both opportunistic and APT actors abuse it.  In the last months, we monitored with particular attention several attack waves adopting a new delivery technique: binary libraries directly loaded by Microsoft Excel, just in one click. This emergent delivery technique leverages XLL files, a particular file type containing a Microsoft Excel application ready to be loaded. […]

Read More

Nuovi Attacchi 0Day verso Exchange Server

Proto: N021121. Con la presente CERT-Yoroi riguardo ad una nuova ondata di attacchi che sta impattando l'Europa ai danni delle tecnologie Microsoft Exchange Server, utilizzate per la realizzazione di servizi di posta elettronica on-premise estremamente diffusi in ambiti Enterprise. La criticità è nota con l’identificativo CVE-2021-42321.  La problematica sotto attacco è causata da lacune nella validazione degli input nei parametri di […]

Read More

Attacchi a portali CMS Sitecore XP

Proto: N011121. Con la presente CERT-Yoroi la informa riguardo al rilevamento di una emergente campagna di attacco rivolta ai danni di tecnologie Sitecore Experience Platform (Sitecore XP), content management system utilizzato per realizzazione di portali web ad alto traffico. La falla è nota con l’identificativo CVE-2021-42237.  La problematica è causa dalla fallace deserializzazione di input utente nel modulo “Report.ashx”, il quale permette ad un attaccante di rete […]

Read More

Falle su Organizzazioni Italiane Abusate per Campagne Malware

Proto: N041021. Con la presente CERT-Yoroi la informa riguardo al rilevamento di nuove operazioni di attacco che abusano di infrastrutture italiane per bypassare i controlli di sicurezza delle caselle e-mail bersaglio.   In particolare, la campagna di attacco, tracciata internamente da CERT Yoroi con l'identificativo ATK-1613, sfrutta falle di tipo XSS ed Open-Redirect per i controlli antispam perimetrali di URL filtering reputazionali.  Risulta particolarmente importante per tutte […]

Read More

Attacchi in corso verso Apache HTTP Server

Proto: N021021. Con la presente CERT-Yoroi la informa riguardo una importante vulnerabilità sull’applicativo Apache HTTP Server, diffusissimo web server utilizzato per la messa in opera di CMS, e-commerce e portali aziendali. La falla è nota con identificativo CVE-2021-41773.  A causa di lacune nel processamento delle richieste HTTP un attaccante di rete può leggere file arbitrari all’interno del server, esponendo informazioni riservate come credenziali o configurazioni ad attori malevoli.   Il Manutentore ha confermato […]

Read More

Hunting the LockBit Gang's Exfiltration Infrastructures

Introduction  Nowadays ransomware operators have consolidated the double extortion practice by mastering data exfiltration techniques. From time to time, we observed many threat actors approach the data theft in diverse ways, some prefeed to rely on legit services and tools such as RClone, FTP sites, and some through VPN channels, but others also with customized tools.   Also, during the last months the LockBit gang (TH-276) decided to develop and evolve a custom tool specialized in data exfiltration and used as a peculiar element to distinguish their criminal brand. In fact, the StealBit 2.0 tool is part of the […]

Read More

Falle "Seventh Inferno" su Dispositivi Netgear

Proto: N030921. Con la presente CERT-Yoroi desidera informarla riguardo a vulnerabilità su vari modelli di dispositivi di rete Netgear diffusi in ambiente small e home office (SOHO). Le falle sono note con l'alias "Seventh Inferno" e l'identificativo CVE-2021-41314.  Le problematiche sono causata da lacune nella validazione degli input che rendono possibile ad un attaccante di rete l'esecuzione di comandi arbitrari sul dispositivo Netgear, centro stella di […]

Read More

Esposizione Massiva di Credenziali Aziendali Compromesse

Proto: N020921. Con la presente CERT-Yoroi desidera informarla riguardo alla recente pubblicazione di credenziali aziendali all'interno del circuito criminale Groove (TH-306). Groove è un gruppo cyber criminale specializzato in attacchi ransomware  a doppia estorsione (double extortion) comparso nello scenario underground ad Agosto 2021.  Recentemente, il gruppo ha rilasciato una serie di dati relativi a credenziali aziendali potenzialmente utilizzabili per l'autenticazione a servizi SSL VPN esposti ad internet. Potenzialmente, le credenziali […]

Read More
1 2 3 19
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram