IMPORTANTE

CVE-2021-44228 IoC log4j log4shell 13/12/2021

CERT-AgID condivide gli IoC per la mitigazione degli attacchi Log4shell

(Lista IoC aggiornata al 17-01-2022 @ 10:34) Come evidenziato anche dal CSIRT Italia, la vulnerabilità censita come CVE-2021-44228 riguardante Apache Log4j sta creando notevoli problemi di sicurezza sui sistemi esposti che utilizzano quel prodotto. Il CERT-AGID, a protezione delle proprie infrastrutture e di quelle della sua constituency, sta raggruppando gli IoC (Indicatori di Compromissione) pubblici […]

Ad un mese esatto torna la campagna Ursnif a tema Agenzia Entrate

21/10/2020

Agenzia Entrate inps Ursnif

Prosegue insistentemente, per il terzo giorno consecutivo, la campagna malspam Ursnif italiana oggi veicolata a tema Agenzia delle Entrate. L’ultima campagna con le medesime caratteristiche è stata osservata il 21 settembre 2020, esattamente 1 mese fa.

Le e-mail di oggi sono tutte dello stesso stampo, cambia naturalmente il file XLS allegato e l’oggetto del messaggio: Il direttore dell’Agenzia delle Entrate o Informazione Agenzia delle Entrate.

Similitudini tra le campagne Ursnif INPS e Agenzia Entrate

Mettendo a confronto le due campagne Ursnif, quella di ieri a tema “INPS” e quella di oggi a tema “Agenzia Entrate” è possibile osservare importanti similitudini nei nomi file delle DLL, nel nomi dei domini utilizzati per veicolare le DLL, nei nomi dominio del C2, nei TLD e nel servizio utilizzato per registrare i domini dei repository.

INPSAGENZIA ENTRATE
XLSrichiesta password all’aperturarichiesta password all’apertura
Nome DLLinstalla.dllinstalla.dll
RegistrarNamecheapNamecheap
Repository DLLhttp://linksystems[.casa/installa[.dllhttp://livesystems[.casa/installa[.dll
Repository DLLhttp://systemlinks[.casa/installa[.dllhttp://blogilive[.casa/installa[.dll
http://blogilive[.bar/installa[.dll
Repository DLLhttp://linksystems[.bar/installa[.dllhttp://livesystems[.bar/installa[.dll
Repository DLLhttp://systemlinks[.cyou/installa[.dllhttp://livesystems[.cyou/installa[.dll
Repository DLLhttp://systemlinks[.casa/installa[.dllhttp://blogilive[.casa/installa[.dll
C2http://windowclient[.com/imageshttp://windowstats[.com/images/

Anomalia delle ore 17

Poco dopo le ore 17 abbiamo avuto evidenza di una nuova ondata di Ursnif apparentemente pasticciata. Questa volta il tema è INPS e riporta il logo dell’Istituto e l’oggetto della mail parla chiaro: “Istituto Nazionale Previdenza Sociale“. Ma la password anzichè “2020” o “inps“, che sono quelle utilizzate per le campagne INPS precedenti, è rimasta “agenzia“.

La catena di infezione risulta essere identica, la DLL viene scaricata da uno dei repository già utilizzati per la campagna odierna Agenzia Entrate ed il C2 è rimasto invariato.

Indicatori di Compromissione

Il CERT-AGID ha diramato attraverso i propri canali CNTI e MISP gli indicatori di compromissione censiti per la campagna veicolata in data odierna a tutela delle strutture accreditate.

Link: Download IoC