Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 17 Luglio 2024 18:34
ARC Labs ha scoperto e analizzato un nuovo strumento utilizzato negli attacchi ransomware Qilin. Chiamato “Killer Ultra”, questo malware è progettato per disabilitare il popolare rilevamento e risposta alle minacce (EDR) e i software antivirus.
Gli esperti di ARC Labs hanno condotto analisi approfondite per comprendere la piena funzionalità di Killer Ultra e fornire informazioni tattiche sulle minacce alle organizzazioni. Durante l’analisi, è stato scoperto che Killer Ultra ottiene autorizzazioni a livello di kernel e prende di mira strumenti di sicurezza di marchi noti. Il programma cancella tutti i registri eventi di Windows e utilizza una versione vulnerabile del programma programma di sicurezza Zemana AntiLogger per terminare i processi in modo arbitrario.
I CVE-2024-1853 è una vulnerabilità in Zemana AntiLogger che consente agli aggressori di terminare i processi del software di sicurezza. Nel maggio 2023, un hacker conosciuto con lo pseudonimo di “SpyBoy” ha incluso questa vulnerabilità in uno strumento chiamato “Terminator” venduto sui forum di criminalità informatica.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
All’avvio Killer Ultra utilizza il processo di sistema “notepad.exe” per nascondere la propria attività. Il malware sostituisce il componente di sistema NTDLL con la versione di “notepad.exe”. Ciò aiuta a nascondere le sue azioni ai programmi di sicurezza che potrebbero monitorare il sistema.
NTDLL (NT Layer DLL) è una libreria di sistema Windows che fornisce un’interfaccia tra i programmi applicativi e il kernel del sistema operativo. Contiene molte funzioni necessarie per eseguire varie attività a livello di sistema operativo, come la gestione di processi, memoria e I/O.
Una volta inizializzato, Killer Ultra carica una copia non interessata di NTDLL ed estrae il driver Zemana sul disco locale. Viene quindi avviato il servizio “StopGuard” che disabilita i processi di sicurezza elencati nel programma. Killer Ultra prende di mira prodotti come Symantec Antivirus, Microsoft Windows Defender e SentinelOne.
Per impedire che gli strumenti di sicurezza vengano eseguiti nuovamente dopo il riavvio del sistema, Killer Ultra crea due attività pianificate: “Microsoft Security” e “Microsoft Maintenance”, che avviano il programma all’avvio del sistema.
Killer Ultra utilizza anche l’utilità “wevtutil.exe” per cancellare i registri eventi di Windows, rendendo difficile rilevare tracce di attività malware.
L’analisi del codice Killer Ultra ha rivelato la presenza di funzioni inattive che potrebbero essere utilizzate per scopi post-exploitation. Il programma può caricare strumenti da fonti remote, eseguire processi utilizzando la funzione CreateProcessW e utilizzare anche funzioni di virtualizzazione e sandbox. Queste funzionalità non sono ancora attive, ma potrebbero essere utilizzate nelle versioni future di Killer Ultra.
Il malware Killer Ultra rappresenta un serio problema di sicurezza. Le organizzazioni sono incoraggiate ad aggiornare le proprie strategie di rilevamento e risposta per combattere questa e minacce simili.
RedazioneIl Roskomnadzor della Federazione Russa ha annunciato che continua a imporre restrizioni sistematiche all’app di messaggistica WhatsApp a causa di violazioni della legge russa. Secondo l’agenzia, ...
Siamo nell’era dell’inganno a pagamento. Ogni tuo click è un referendum privato in cui vincono sempre loro, gli algoritmi. E non sbagliano mai: ti osservano, ti profilano, ti conoscono meglio di ...
Questa mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punt...
