IMPORTANTE

CVE-2021-44228 IoC log4j log4shell 13/12/2021

CERT-AgID condivide gli IoC per la mitigazione degli attacchi Log4shell

(Lista IoC aggiornata al 17-01-2022 @ 10:34) Come evidenziato anche dal CSIRT Italia, la vulnerabilità censita come CVE-2021-44228 riguardante Apache Log4j sta creando notevoli problemi di sicurezza sui sistemi esposti che utilizzano quel prodotto. Il CERT-AGID, a protezione delle proprie infrastrutture e di quelle della sua constituency, sta raggruppando gli IoC (Indicatori di Compromissione) pubblici […]

Campagna Ursnif con falsa mail INPS

26/08/2020

inps IoC Ursnif

Facendo leva su fantomatiche discordanze relative al versamento dei contributi previdenziali, i criminali dietro la campagna Ursnif odierna invitano le proprie vittime a scaricare un allegato XLS proponendolo come un bollettino INPS precompilato per richiedere il rimborso.

Il file XLS contiene una macro Excel4, con valori di formule e di costanti in chiaro, il cui scopo è quello di scaricare e registrare una DLL acquisita da un repository remoto.

Una volta registrata la DLL ha inizio la catena di infezione Gozi/Ursnif che prova a dialogare con una lunga lista di C2.

Osservazioni

  • Il template di questa mail è identico a quello utilizzato per la campagna precedente che veicolava il malware ursnif tramite allegato JNLP.
  • La campagna sembra essere indirizzata a strutture private, al momento non si ha evidenza della campagna in ambito PA.
  • Dei 13 C&C individuati, 12 erano già noti a partire dal mese di maggio 2020 come riportato nella tabella seguente.
C2CampaignsFirst seen
gstat.sloleaks.com1105/2020
gstat.securezal.com505/2020
gstat.securezal.xyz405/2020
gstat.premiamo.eu405/2020
gstat.secundamo.com405/2020
gstat.secundato.net405/2020
gstat.secundato.com407/2020
gstat.securanto.com307/2020
gstat.premiamo.com307/2020
gstat.securezzis.net307/2020
gstat.securanto.net307/2020
gstat.securezzas.com307/2020

Indicatori di Compromissione

Si riportano di seguito gli indicatori di compromissione già condivisi sulla nostra piattaforma CNTI e MISP a tutela delle strutture accreditate.

Link: Download IoC