Prosegue l'ondata #Remcos a tema #AgenziaEntrate
๐ฏ Target: ๐ฎ๐น
๐ Share SMB: ๐ท๐บ
๐ฅ C2: ๐ท๐บ
๐ Aggiornati gli #IoC con le dropurl e i redirect ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/11/remcos_agenzia-entrate_14-11-2023.json
๐ Aggiornamento ore 10:00: #Remcos utilizzati 2 IP della rete #Ursnif giร osservati a partire dal 2021 e di recente in data 12/10/2023
๐ฌAnalisi ed osservazioni ๐
๐ https://cert-agid.gov.it/news/le-recenti-sanzioni-finanziarie-dellue-hanno-costretto-il-gruppo-ursnif-a-cambiare-strategia/
๐ฏ Target: ๐ฎ๐น
๐ Share SMB: ๐ท๐บ
๐ฅ C2: ๐ท๐บ
๐ Aggiornati gli #IoC con le dropurl e i redirect ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/11/remcos_agenzia-entrate_14-11-2023.json
๐ Aggiornamento ore 10:00: #Remcos utilizzati 2 IP della rete #Ursnif giร osservati a partire dal 2021 e di recente in data 12/10/2023
๐ฌAnalisi ed osservazioni ๐
๐ https://cert-agid.gov.it/news/le-recenti-sanzioni-finanziarie-dellue-hanno-costretto-il-gruppo-ursnif-a-cambiare-strategia/
Il template รจ sempre lo stesso, le metodologie utilizzate per compromettere i sistemi sono rimaste invariate, le share sono sempre ospitate su server remoti localizzati in Russia ๐ท๐บ, il target รจ sempre l'Italia ๐ฎ๐น
โก๏ธ SystemBC
Stamattina รจ stata osservata una nuova ondata finalizzata a compromettere le vittime con il malware noto con il nome di #SystemBC
โก๏ธ Remcos
Pochi minuti fa le share sono state aggiornate con un nuovo eseguibile, ancora una volta #Remcos
๐ฆ Da malware infostealer, quale รจ #Ursnif, ad applicazioni come #Remcos e #SystemBC ideati per il controllo remoto dei sistemi compromessi.
๐ค Quali le reali motivazioni dietro alla scelta di cambiare strategia? Qui qualche ipotesi.
๐ฃ Indicatori di compromissione ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/11/systembc_remcos_agenzia-entrate_16-11-2023.json
โก๏ธ SystemBC
Stamattina รจ stata osservata una nuova ondata finalizzata a compromettere le vittime con il malware noto con il nome di #SystemBC
โก๏ธ Remcos
Pochi minuti fa le share sono state aggiornate con un nuovo eseguibile, ancora una volta #Remcos
๐ฆ Da malware infostealer, quale รจ #Ursnif, ad applicazioni come #Remcos e #SystemBC ideati per il controllo remoto dei sistemi compromessi.
๐ค Quali le reali motivazioni dietro alla scelta di cambiare strategia? Qui qualche ipotesi.
๐ฃ Indicatori di compromissione ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/11/systembc_remcos_agenzia-entrate_16-11-2023.json
Sintesi riepilogativa delle campagne malevole nella settimana del 11 - 17 Novembre 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 28 campagne malevole, di cui 24 con obiettivi italiani e 4 generiche che hanno comunque interessato lโItalia, mettendo a disposizione dei suoi enti accreditati i relativi 464 indicatori di compromissione (IOC) individuati.
๐ฅ Rilevate campagne massive malware e phishing veicolate in Italia sfruttando il tema #AgenziaEntrate.
โก๏ธ #Phishing #AgenziaEntrate ospitato su dominio ad-hoc
โก๏ธ #Remcos e #SystemBC a tema #AgenziaEntrate
โก๏ธ Prosegue lo #smishing ai danni di utenti #INPS
๐ฃ #IoC 464
๐ฆ #Malware 8 (famiglie)
๐ #Phishing 10 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-11-17-novembre-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 28 campagne malevole, di cui 24 con obiettivi italiani e 4 generiche che hanno comunque interessato lโItalia, mettendo a disposizione dei suoi enti accreditati i relativi 464 indicatori di compromissione (IOC) individuati.
๐ฅ Rilevate campagne massive malware e phishing veicolate in Italia sfruttando il tema #AgenziaEntrate.
โก๏ธ #Phishing #AgenziaEntrate ospitato su dominio ad-hoc
โก๏ธ #Remcos e #SystemBC a tema #AgenziaEntrate
โก๏ธ Prosegue lo #smishing ai danni di utenti #INPS
๐ฃ #IoC 464
๐ฆ #Malware 8 (famiglie)
๐ #Phishing 10 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-11-17-novembre-2023/
๐ฎ๐น Si osserva la ripresa massiva di campagne a tema #AgenziaEntrate per diffondere il RAT #Remcos in Italia
โ๏ธ Comitato di monitoraggio dell'anagrafe tributaria
โ ๏ธ La campagna odierna utilizza e-mail con un link che punta al download di un file ZIP contenente file URL da cui la connessione a SMB, sempre su IP ๐ท๐บ giร osservati la scorsa settimana, da cui si ottiene un ulteriore file ZIP con all'interno un contenitore VHD
โน๏ธ Si invita a prestare attenzione a questo genere di comunicazioni. Nel dubbio inoltrare l'email a ๐จ malware@cert-agid.gov.it
๐ฃ Disponibili gli IoC (nuovi ๐ฅ C2): ๐
Gli indicatori relativi a questa campagna sono giร stati condivisi con le pubbliche organizzazioni accreditate al Flusso #IoC del CERT-AgID.
๐ https://cert-agid.gov.it/wp-content/uploads/2023/11/remcos_agenzia-entrate_20-11-2023.json
โ๏ธ Comitato di monitoraggio dell'anagrafe tributaria
โ ๏ธ La campagna odierna utilizza e-mail con un link che punta al download di un file ZIP contenente file URL da cui la connessione a SMB, sempre su IP ๐ท๐บ giร osservati la scorsa settimana, da cui si ottiene un ulteriore file ZIP con all'interno un contenitore VHD
โน๏ธ Si invita a prestare attenzione a questo genere di comunicazioni. Nel dubbio inoltrare l'email a ๐จ malware@cert-agid.gov.it
๐ฃ Disponibili gli IoC (nuovi ๐ฅ C2): ๐
Gli indicatori relativi a questa campagna sono giร stati condivisi con le pubbliche organizzazioni accreditate al Flusso #IoC del CERT-AgID.
๐ https://cert-agid.gov.it/wp-content/uploads/2023/11/remcos_agenzia-entrate_20-11-2023.json
๐ฎ๐น La campagna #AgenziaEntrate cambia malware: da #Remcos a #SystemBC
๐ SMB con 2 file ZIP: azienda (usa VHD) e config (usa CPL)
๐ฃ Disponibili gli IoC: ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/11/systembc_agenzia-entrate_20-11-2023.json
๐ SMB con 2 file ZIP: azienda (usa VHD) e config (usa CPL)
๐ฃ Disponibili gli IoC: ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/11/systembc_agenzia-entrate_20-11-2023.json
๐ฎ๐น Osservata una campagna massiva, in lingua inglese, mirata a veicolare #Vidar in Italia
โ๏ธ TTP giร osservate nelle campagne italiane del mese di luglio e settembre.
๐ฅ C2 riportati sulla bio dei profili #Telegram e #SteamCommunity
๐ฅท #Vidar รจ un (MaaS) #Infostealer che ruba dati da ๐ browser e ๐ฐcrypto
๐ฅ Botnet: 66d856e8702aaf9d4f3e8b547d773e5f
โ Versione: 6.6
๐ฃ Indicatori di compromissione ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/11/vidar_24-11-2023.json
โ๏ธ TTP giร osservate nelle campagne italiane del mese di luglio e settembre.
๐ฅ C2 riportati sulla bio dei profili #Telegram e #SteamCommunity
๐ฅท #Vidar รจ un (MaaS) #Infostealer che ruba dati da ๐ browser e ๐ฐcrypto
๐ฅ Botnet: 66d856e8702aaf9d4f3e8b547d773e5f
โ Versione: 6.6
๐ฃ Indicatori di compromissione ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/11/vidar_24-11-2023.json
Sintesi riepilogativa delle campagne malevole nella settimana del 18-24 Novembre 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 43 campagne malevole, di cui 38 con obiettivi italiani e 5 generiche che hanno comunque interessato lโItalia, mettendo a disposizione dei suoi enti accreditati i relativi 537 indicatori di compromissione (IOC) individuati.
โก๏ธ #Remcos e #SytemBC veicolate massivamente tramite false comunicazioni #AgenziaEntrate
โก๏ธ #Vidar veicolato in Italia riporta i C2 sulle bio dei profili #Telegram e #SteamCommunity
๐ฃ #IoC 537
๐ฆ #Malware 6 (famiglie)
๐ #Phishing 8 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-18-24-novembre-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 43 campagne malevole, di cui 38 con obiettivi italiani e 5 generiche che hanno comunque interessato lโItalia, mettendo a disposizione dei suoi enti accreditati i relativi 537 indicatori di compromissione (IOC) individuati.
โก๏ธ #Remcos e #SytemBC veicolate massivamente tramite false comunicazioni #AgenziaEntrate
โก๏ธ #Vidar veicolato in Italia riporta i C2 sulle bio dei profili #Telegram e #SteamCommunity
๐ฃ #IoC 537
๐ฆ #Malware 6 (famiglie)
๐ #Phishing 8 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-18-24-novembre-2023/
๐ฎ๐น I Threat Actors (TA) dietro le campagne con target Italia abusano di strumenti (legittimi) per il controllo remoto
Dopo #Netsupport, #Remcos, #SystemBC oggi รจ la volta di #Anyplace
โ๏ธ La campagna #Anyplace osservata in data odierna sfrutta il tema Pagamenti
โ๏ธ Per la compromissione viene utilizzato un file RAR autoestraente mascherato da PDF
๐ฃ Indicatori di compromissione ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/11/anyplace_27-11-2023.json
Dopo #Netsupport, #Remcos, #SystemBC oggi รจ la volta di #Anyplace
โ๏ธ La campagna #Anyplace osservata in data odierna sfrutta il tema Pagamenti
โ๏ธ Per la compromissione viene utilizzato un file RAR autoestraente mascherato da PDF
๐ฃ Indicatori di compromissione ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/11/anyplace_27-11-2023.json
๐ฎ๐น #SpyNote aggiunge un ulteriore livello di offuscamento delle stringhe
โ๏ธ Osservata in Italia una nuova versione di #SpyNote che aggiunge alcune funzioni (XOR) a protezione delle stringhe (compreso C2) precedentemente riportate in chiaro o codificate in base64.
๐ฑ La campagna รจ diffusa tramite #SMS a tema bancario.
๐ Le funzionalitร del malware sono rimaste invariate.
โน๏ธ Per ulteriori informazioni si consiglia di consultare l'analisi del mese di ottobre 2023
โ๏ธ Osservata in Italia una nuova versione di #SpyNote che aggiunge alcune funzioni (XOR) a protezione delle stringhe (compreso C2) precedentemente riportate in chiaro o codificate in base64.
๐ฑ La campagna รจ diffusa tramite #SMS a tema bancario.
๐ Le funzionalitร del malware sono rimaste invariate.
โน๏ธ Per ulteriori informazioni si consiglia di consultare l'analisi del mese di ottobre 2023
Sintesi riepilogativa delle campagne malevole nella settimana del 25 Novembre - 1 Dicembre 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole, di cui 29 con obiettivi italiani e 5 generiche che hanno comunque interessato lโItalia, mettendo a disposizione dei suoi enti accreditati i relativi 390 indicatori di compromissione (IOC) individuati.
โก๏ธ #AgentTesla diffuso massivamente in Italia
โก๏ธ #Remcos continua ondata a tema Paypal con i C2 della scorsa settimana
โก๏ธ #Anyplace i Threat Actors (TA) dietro le campagne con target Italia abusano di strumenti (legittimi) per il controllo remoto
โก๏ธ #SpyNote aggiunge un nuovo livello di offuscamento delle stringhe
๐ฃ #IoC 390
๐ฆ #Malware 11 (famiglie)
๐ #Phishing 7 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-25-novembre-1-dicembre-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole, di cui 29 con obiettivi italiani e 5 generiche che hanno comunque interessato lโItalia, mettendo a disposizione dei suoi enti accreditati i relativi 390 indicatori di compromissione (IOC) individuati.
โก๏ธ #AgentTesla diffuso massivamente in Italia
โก๏ธ #Remcos continua ondata a tema Paypal con i C2 della scorsa settimana
โก๏ธ #Anyplace i Threat Actors (TA) dietro le campagne con target Italia abusano di strumenti (legittimi) per il controllo remoto
โก๏ธ #SpyNote aggiunge un nuovo livello di offuscamento delle stringhe
๐ฃ #IoC 390
๐ฆ #Malware 11 (famiglie)
๐ #Phishing 7 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-25-novembre-1-dicembre-2023/
Sintesi riepilogativa delle campagne malevole nella settimana del 2 - 9 Dicembre 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 23 campagne malevole con obiettivi italiani, mettendo a disposizione dei suoi enti accreditati i relativi 182 indicatori di compromissione (IOC) individuati.
โก๏ธ #SpyNote prosegue con le campagne di smishing a tema Banking volte ad installare il malware sui dispositivi android delle vittime italiane.
โก๏ธ #Pikabot continua l'ondata di campagne mirate per l'Italia
โก๏ธ Contrastate nuove campagne di #smishing ai danni di clienti #INPS
๐ฃ #IoC 182
๐ฆ #Malware 4 (famiglie)
๐ #Phishing 7 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-9-dicembre-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 23 campagne malevole con obiettivi italiani, mettendo a disposizione dei suoi enti accreditati i relativi 182 indicatori di compromissione (IOC) individuati.
โก๏ธ #SpyNote prosegue con le campagne di smishing a tema Banking volte ad installare il malware sui dispositivi android delle vittime italiane.
โก๏ธ #Pikabot continua l'ondata di campagne mirate per l'Italia
โก๏ธ Contrastate nuove campagne di #smishing ai danni di clienti #INPS
๐ฃ #IoC 182
๐ฆ #Malware 4 (famiglie)
๐ #Phishing 7 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-9-dicembre-2023/
Sintesi riepilogativa delle campagne malevole nella settimana del 9 - 15 Dicembre 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole, di cui 34 con obiettivi italiani ed una generica che ha comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 775 indicatori di compromissione (IOC) individuati.
โก๏ธ #SpyNote prosegue con le campagne di #smishing volte ad installare il malware sui dispositivi android delle vittime italiane. I campioni analizzati riconducono alla versione utilizzata nel mese di ottobre.
โก๏ธ #Pikabot e #AgentTesla continuano con le ondate di campagne mirate per l'Italia.
๐ฃ #IoC 775
๐ฆ #Malware 5 (famiglie)
๐ #Phishing 8 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-09-15-dicembre-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole, di cui 34 con obiettivi italiani ed una generica che ha comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 775 indicatori di compromissione (IOC) individuati.
โก๏ธ #SpyNote prosegue con le campagne di #smishing volte ad installare il malware sui dispositivi android delle vittime italiane. I campioni analizzati riconducono alla versione utilizzata nel mese di ottobre.
โก๏ธ #Pikabot e #AgentTesla continuano con le ondate di campagne mirate per l'Italia.
๐ฃ #IoC 775
๐ฆ #Malware 5 (famiglie)
๐ #Phishing 8 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-09-15-dicembre-2023/