VMWare ESXi CVE-2021–21974

Premessa Nel marasma delle (dis)informazioni mediatiche sull’argomento ho notato come spesso si parla del problema e meno spesso di come questo funziona. Con questo articolo andrò, nella maniera più sintetica possibile, ad elencare come questo bug ad oggi viene sfruttato, calandoci il più possibile nelle fasi dell’attacco e quali sono le azioni di remediation che … Leggi tutto

~/pills/emotet.md

Disclaimer File ricevuto per posta in data 24/05/2022Analisi effettuata in data 24/05/2022 Pattern Doc 2405.zip > Doc 2405.xls > download DLLs > regsvr32 URLs https://bosny.com/aspnet_client/NGTx1FUzq – ONLINE https://www.berekethaber.com/hatax/c7crGdejW4380ORuxqR – OFFLINE https://bulldogironworksllc.com/temp/BBh5HHpei – ONLINE Out file d97a7ad99d03d6e71460ea1d070aabc6 dxKhiFyiYY.dll NONE 40d36d444e78be05e5aa2d642bea40bf cOdKQViudamr.dll C2 37.44.244.177:8080 – OFFLINE 160.16.143.191:7080 – OFFLINE 165.22.73.229:8080 – ONLINE 196.44.98.190:8080 – ONLINE

Emotet & Epoch5. Analisi malware

Preambolo La prima versione di Emotet risale al 2014. Il trojan era originariamente progettato come un malware bancario con lo scopo di intrufolarsi nei sistemi della vittima e rubare informazioni sensibili. Emotet ha avuto il suo periodo d’oro fra il 2018 e il 2019 fino all’inizio del 2020 dove, anche grazie a un kill switch … Leggi tutto

~/docs/kill_chain.dat

Il termine kill chain si fa riferimento alla struttura con la quale un attacco informatico viene eseguito. Le fasi sono: Ricognizione / Reconnaissance Armamento / Weaponization Consegna / Delivery Sfruttamento / Exploiting Installazione / Installation Comando e controllo / C2 o C&C Lateral moving & Pivoting Ricognizione Credential Dumping & Privilege Escalation Gaining Access Azione … Leggi tutto

IcedID, analisi di un caso reale

Preludio Tutto parte da un’email di phishing contenente un allegato .zip.La mail riporta i seguenti dati Da: mario.rossi@dominio_conosciuto.com Date: mer 29 dic 2021 alle ore 14:17 Subject: Re: Re: richiesta di quotazione To: destinatario@nomeazienda.com Hello, Important information for you. Please, see the attachment. Password – 4y45h Thanks Best regards Mario Rossi Inviato da Mario Il … Leggi tutto