Un'indagine di incident response ha rilevato una catena d'attacco costruita su difese disabilitate, una web shell steganografica e Mimikatz, seguita dal riutilizzo ripetuto di un server non completamente ripulito.
Un esperimento riportato mostra come un modello linguistico, un disassemblatore e un piccolo ciclo di stato possano rendere l'analisi della difesa endpoint più veloce, ripetibile e potenzialmente utile per la ricerca sull'evasione.
A macOS attack chain described as using legitimate operating-system behavior, not a classic vulnerability, raises a hard question: how much protection remains if a standard user can silence the tools meant to watch them?
ATT&CK v19 introduce cambiamenti strutturali, tra cui la dismissione di Defense Evasion e la sua sostituzione con Stealthee e Impair Defenses.
Un ampio riepilogo di bug dei browser, killer EDR, una botnet per TV, una falla in OpenBSD e trojan Android indica un modello duraturo: gli aggressori continuano a scegliere il percorso più breve verso il controllo, non il più appariscente.
Una segnalata consolidazione di strumenti killer EDR all'interno di un flusso di lavoro Gentlemen RaaS mette in evidenza come i gruppi ransomware possano confezionare la soppressione delle difese come un servizio riutilizzabile.
Il logging nel cloud dovrebbe preservare le prove, ma l'abuso del control plane può trasformare quelle prove nella prima cosa che un intruso cerca di mettere a tacere.
Un risultato di ricerca di un fornitore indica un cambiamento preoccupante negli attacchi cloud: invece di limitarsi a rubare dati, gli intrusi potrebbero anche tentare di indebolire la telemetria da cui i difensori dipendono.
Una nuova proof of concept open source mostra come il throttling basato su policy in Windows possa soffocare il collegamento cloud da cui dipendono molti strumenti EDR, creando un rischio di elusione della difesa che assomiglia più a una fame di rete che a una manomissione malware.
Un marchio di ransomware emerso di recente sta attirando l'attenzione non perché abbia riscritto la cifratura, ma perché sembra nascondersi meglio di quanto ci si aspettasse dai vecchi playbook.
L’ultima variante di Gremlin Stealer sembra progettata per il ritardo e la furtività, combinando l’archiviazione crittografata delle risorse con un packer commerciale che trasforma il codice ordinario in bytecode personalizzato.
Una campagna di spionaggio segnalata mostra come un eseguibile firmato possa diventare poco più di una maschera quando il payload reale arriva tramite una DLL sideloaded.
A new ransomware family fuses attack and evasion, embedding a vulnerable driver to quietly neutralize security tools before striking.
Una nuova famiglia di ransomware fonde attacco ed evasione, incorporando un driver vulnerabile per neutralizzare silenziosamente gli strumenti di sicurezza prima di colpire.