Sintesi riepilogativa delle campagne malevole nella settimana del 14 – 20 gennaio 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole, di cui 21 con obiettivi italiani e 5 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 321 indicatori di compromissione (IOC) individuati.
➡️ #Formbook, #AgentTesla e #Ursnif sono i malware più diffusi della settimana.
➡️ Il tema #AgenziaEntrate è stato ancora sfruttato da #Ursnif.
💣 #IoC 321
🦠 #Malware 4 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-14-20-gennaio-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole, di cui 21 con obiettivi italiani e 5 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 321 indicatori di compromissione (IOC) individuati.
➡️ #Formbook, #AgentTesla e #Ursnif sono i malware più diffusi della settimana.
➡️ Il tema #AgenziaEntrate è stato ancora sfruttato da #Ursnif.
💣 #IoC 321
🦠 #Malware 4 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-14-20-gennaio-2023/
Ripresa oggi la campagna #Ursnif a tema #AgenziaEntrate via #SMB
📬 Oggetto: "Commissione di osservanza sull'anagrafe tributaria"
⚔️ TTP:
📬 Oggetto: "Commissione di osservanza sull'anagrafe tributaria"
⚔️ TTP:
Email > Link > Zip > URL > SMB🔗 https://cert-agid.gov.it/wp-content/uploads/2023/01/ursnif_agenzia-entrate_23-01-2022.json_.txt
⚠️ In aumento il numero di campagne di #phishing che utilizzano frontend statici distribuiti su #IPFS.
❓ #IPFS è un file system distribuito che può essere reso accessibile tramite HTTP per mezzo di vari gateway (PDF: IPFS).
➡️ La disponibilità di numerosi gateway e la possibilità di poterne generare di nuovi, rende difficile bloccare l'accesso alle risorse molevole. Censire la url di IPFS non risolve il problema.
➡️ La topologia DAG di IPFS rende facile generare nuovi path per la stessa risorsa, anche in modo automatico. Complicando la difesa.
➡️ Un oggetto salvato su IPFS vi rimane per un tempo indefinito e viene distribuito anche a nodi ignari.
🛡 Le campagne di phishing inviano, tramite una richiesta POST, i dati al "backend", la soluzione migliore resta quella di bloccare la URL al backend che rientra nel protocollo HTTP.
ℹ️ In #Italia la prima campagna di cui abbia evidenza risale al 15/07/2022 ma il fenomeno si è intensificato negli ultimi giorni. Sono noti casi di malware distribuiti su IPFS.
❓ #IPFS è un file system distribuito che può essere reso accessibile tramite HTTP per mezzo di vari gateway (PDF: IPFS).
➡️ La disponibilità di numerosi gateway e la possibilità di poterne generare di nuovi, rende difficile bloccare l'accesso alle risorse molevole. Censire la url di IPFS non risolve il problema.
➡️ La topologia DAG di IPFS rende facile generare nuovi path per la stessa risorsa, anche in modo automatico. Complicando la difesa.
➡️ Un oggetto salvato su IPFS vi rimane per un tempo indefinito e viene distribuito anche a nodi ignari.
🛡 Le campagne di phishing inviano, tramite una richiesta POST, i dati al "backend", la soluzione migliore resta quella di bloccare la URL al backend che rientra nel protocollo HTTP.
ℹ️ In #Italia la prima campagna di cui abbia evidenza risale al 15/07/2022 ma il fenomeno si è intensificato negli ultimi giorni. Sono noti casi di malware distribuiti su IPFS.
Sintesi riepilogativa delle campagne malevole nella settimana del 21 – 27 gennaio 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole, di cui 18 con obiettivi italiani e 8 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 228 indicatori di compromissione (IOC) individuati.
➡️ #AgentTesla è il malware più diffuso della settimana.
➡️ Il tema #AgenziaEntrate è stato ancora sfruttato da #Ursnif.
➡️ Non si arresta il phishing ai danni di utenti #INPS
➡️ In crescita il phishing che utilizza frontend statici basati su #IPFS
💣 #IoC 228
🦠 #Malware 5 (famiglie)
🐟 #Phishing 10 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-21-27-gennaio-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole, di cui 18 con obiettivi italiani e 8 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 228 indicatori di compromissione (IOC) individuati.
➡️ #AgentTesla è il malware più diffuso della settimana.
➡️ Il tema #AgenziaEntrate è stato ancora sfruttato da #Ursnif.
➡️ Non si arresta il phishing ai danni di utenti #INPS
➡️ In crescita il phishing che utilizza frontend statici basati su #IPFS
💣 #IoC 228
🦠 #Malware 5 (famiglie)
🐟 #Phishing 10 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-21-27-gennaio-2023/
La campagna #Ursnif a tema #AgenziaEntrate torna ad utilizzare documenti MS Office con #Macro
📬 Oggetto: "2023013043827"
📎 XLS
⚔️ TTP:
📬 Oggetto: "2023013043827"
📎 XLS
⚔️ TTP:
Email > XLS (macro) > DLL (packer) > DLL🔗 https://cert-agid.gov.it/wp-content/uploads/2023/01/ursnif_agenzia-entrate_31-01-2022.json_.txt
#Formbook veicolato tramite nuovo loader che utilizza il driver di Process Explorer per determinare la lista dei processi in esecuzione.
➡️ Scritto in .NET (due stadi)
❗️Offuscato con KoiVM
➡️ LPE tramite vecchio exploit per eventvwr.exe
❗️ Carica il driver originale di Process Explorer 16.43 per enumerare i processi in esecuzione.
➡️ Verifica la presenza dei principali antivirus, l'esecuzione nelle principali VM e sandbox e in WINE.
➡️ Persistenza tramite task schedulato all'avvio.
🔥 Il payload finale (#Formbook) è cifrato nell'unica risorsa del loader. (
💣 Disponibili gli #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/02/formbook_01-02-2023.json_.txt
➡️ Scritto in .NET (due stadi)
❗️Offuscato con KoiVM
➡️ LPE tramite vecchio exploit per eventvwr.exe
❗️ Carica il driver originale di Process Explorer 16.43 per enumerare i processi in esecuzione.
➡️ Verifica la presenza dei principali antivirus, l'esecuzione nelle principali VM e sandbox e in WINE.
➡️ Persistenza tramite task schedulato all'avvio.
🔥 Il payload finale (#Formbook) è cifrato nell'unica risorsa del loader. (
BIDEN_HARRIS_PERFECT_ASSHOLE in questo sample) in AES256 ECB, la chiave è una stringa base64.💣 Disponibili gli #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/02/formbook_01-02-2023.json_.txt
Continuano le campagne di phishing serverless
Esempio, campagna italiana 🇮🇹 a tema generico per il furto delle credenziali:
📃 Frontend hostato su #IPFS, nessuna necessità di un configurare un hosting.
⚙️ Backend fornito da formsubmit.co che invia i dati direttamente ad una email.
🖼 Logo della vittima dell'azienda fornito da logo.clearbit.com
✍️ Poco codice HTML, CSS e JS
Esempio, campagna italiana 🇮🇹 a tema generico per il furto delle credenziali:
📃 Frontend hostato su #IPFS, nessuna necessità di un configurare un hosting.
⚙️ Backend fornito da formsubmit.co che invia i dati direttamente ad una email.
🖼 Logo della vittima dell'azienda fornito da logo.clearbit.com
✍️ Poco codice HTML, CSS e JS
Telegram
CERT-AgID
⚠️ In aumento il numero di campagne di #phishing che utilizzano frontend statici distribuiti su #IPFS.
❓ #IPFS è un file system distribuito che può essere reso accessibile tramite HTTP per mezzo di vari gateway (PDF: IPFS).
➡️ La disponibilità di numerosi…
❓ #IPFS è un file system distribuito che può essere reso accessibile tramite HTTP per mezzo di vari gateway (PDF: IPFS).
➡️ La disponibilità di numerosi…
Campagna #Qakbot 🇮🇹 con file #OneNote
⚔️ Il file
❗️Il parametro passato alla DLL è offuscato nello script.
❗️La DLL verifica la presenza dei principali antivirus ed effettua process hollowing su
❗️Attende 5 min prima di contattare i C2, tempo massimo concesso dalle sandbox online agli utenti con piano di registrazione Free
💣 Disponibili gli #Ioc 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/02/qakbot_02-02-2023.json_.txt
⚔️ Il file
.ONE 📔 contiene uno script HTA utilizzato per scaricare la DLL ed eseguirla con un parametro preconfigurato. ⚠️ Questa tecnica viene utilizzata per eludere le analisi automatizzate tramite sandbox.❗️Il parametro passato alla DLL è offuscato nello script.
❗️La DLL verifica la presenza dei principali antivirus ed effettua process hollowing su
wermgr.exe ❗️Attende 5 min prima di contattare i C2, tempo massimo concesso dalle sandbox online agli utenti con piano di registrazione Free
💣 Disponibili gli #Ioc 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/02/qakbot_02-02-2023.json_.txt
Sintesi riepilogativa delle campagne malevole nella settimana del 21 gennaio – 03 febbraio 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 27 campagne malevole, di cui 23 con obiettivi italiani e 4 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 395 indicatori di compromissione (IOC) individuati.
➡️ #Qakbot con file #OneNote è il #malware più diffuso della settimana.
➡️ Il tema #AgenziaEntrate è stato ancora sfruttato da #Ursnif.
➡️ Al primo posto lo #Smishing ai danni di utenti #INPS con lo scopo di sottrarre documenti di identità.
💣 #IoC 395
🦠 #Malware 4 (famiglie)
🐟 #Phishing 13 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-21-gennaio-03-febbraio-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 27 campagne malevole, di cui 23 con obiettivi italiani e 4 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 395 indicatori di compromissione (IOC) individuati.
➡️ #Qakbot con file #OneNote è il #malware più diffuso della settimana.
➡️ Il tema #AgenziaEntrate è stato ancora sfruttato da #Ursnif.
➡️ Al primo posto lo #Smishing ai danni di utenti #INPS con lo scopo di sottrarre documenti di identità.
💣 #IoC 395
🦠 #Malware 4 (famiglie)
🐟 #Phishing 13 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-21-gennaio-03-febbraio-2023/
Campagna 🇮🇹 #Ursnif a tema #AgenziaEntrate utilizza #bitsadmin
📬 Oggetto: "Commissione di vigilanza sul registro tributario"
⚔️ TTP:
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/02/ursnif_agenzia-entrate_07-02-2023.json_.txt
📬 Oggetto: "Commissione di vigilanza sul registro tributario"
⚔️ TTP:
Email > Link > RAR > HTA > bitsadmin > DLL💣 Disponibili gli #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/02/ursnif_agenzia-entrate_07-02-2023.json_.txt
In corso campagna 🇮🇹 di #Phishing #AgenziaEntrate
📬 Oggetto: "Rimborso fiscale N°0784841364953050SARSVOV"
💣 Disponibili gli #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/02/phishing_agenzia-entrate_07-02-2023.json_.txt
📬 Oggetto: "Rimborso fiscale N°0784841364953050SARSVOV"
💣 Disponibili gli #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/02/phishing_agenzia-entrate_07-02-2023.json_.txt
In corso nuove campagne malevole 🇮🇹 a tema #AgenziaEntrate
In 3 giorni il CERT-AGID ha avuto evidenza di 5 campagne massive rivolte a PA e Privati
➡️ #Ursnif utilizza #SMB
📬 Oggetto: "Commissione di vigilanza sull'anagrafe tributaria"
⚔️ TTP:
📬 Oggetto: "Avviso Raccomandata XXXXXXX"
⚔️ TTP:
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/02/ioc_agenzia-entrate_07-02-2023_09-02-2023.json_.txt 🔄
➡️ Trend settimanale e mensile del tema #AgenziaEntrate
📈 https://cert-agid.gov.it/statistiche/?tipo=&malware=&tema=Agenzia+Entrate
In 3 giorni il CERT-AGID ha avuto evidenza di 5 campagne massive rivolte a PA e Privati
➡️ #Ursnif utilizza #SMB
📬 Oggetto: "Commissione di vigilanza sull'anagrafe tributaria"
⚔️ TTP:
Email > Link > ZIP > URL > SMB > DLL➡️ #Phishing
📬 Oggetto: "Avviso Raccomandata XXXXXXX"
⚔️ TTP:
Email > Link > Redirect > Clone💣 Al fine di rendere pubblici i dettagli delle campagne si riportano di seguito tutti gli indicatori rilevati e già condivisi con le organizzazioni accreditate alla ricezione del flusso di IoC del CERT-AGID👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/02/ioc_agenzia-entrate_07-02-2023_09-02-2023.json_.txt 🔄
➡️ Trend settimanale e mensile del tema #AgenziaEntrate
📈 https://cert-agid.gov.it/statistiche/?tipo=&malware=&tema=Agenzia+Entrate
Gli autori della campagna #Ursnif #AgenziaEntrate cambiano TTP
Tornano ad utilizzare HTA e sfruttano #Certutil per il download dell'eseguibile.
🔄 La lista degli IoC è stata aggiornata con i nuovi indicatori
Tornano ad utilizzare HTA e sfruttano #Certutil per il download dell'eseguibile.
🔄 La lista degli IoC è stata aggiornata con i nuovi indicatori
Sintesi riepilogativa delle campagne malevole nella settimana del 04 – 10 febbraio 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 25 campagne malevole, di cui 23 con obiettivi italiani e 2 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 425 indicatori di compromissione (IOC) individuati.
➡️ #AgenziaEntrate tema sfruttato per veicolare #Ursnif e per il phishing dei finti rimborsi.
➡️ #Qakbot nuova variante denominata #iPikaBot osservata in #Italia
💣 #IoC 425
🦠 #Malware 6 (famiglie)
🐟 #Phishing 8 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-04-10-febbraio-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 25 campagne malevole, di cui 23 con obiettivi italiani e 2 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 425 indicatori di compromissione (IOC) individuati.
➡️ #AgenziaEntrate tema sfruttato per veicolare #Ursnif e per il phishing dei finti rimborsi.
➡️ #Qakbot nuova variante denominata #iPikaBot osservata in #Italia
💣 #IoC 425
🦠 #Malware 6 (famiglie)
🐟 #Phishing 8 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-04-10-febbraio-2023/