Contenido de Detección: Ataque Relacionado con COVID-19 en Proveedores Médicos

[post-views]
mayo 05, 2020 · 2 min de lectura
Contenido de Detección: Ataque Relacionado con COVID-19 en Proveedores Médicos

La nueva regla de Sigma de Osman Demir ayuda a detectar ataques de phishing relacionados con COVID-19 dirigidos a proveedores médicos. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/

La campaña se conoció a finales de la semana pasada, y los investigadores creen que está asociada con estafadores 419 que explotan la pandemia de COVID-19 para ataques de compromiso de correo electrónico empresarial. Los adversarios envían correos electrónicos de phishing altamente dirigidos con documentos maliciosos de MS Word preguntando sobre varios materiales necesarios para abordar la pandemia de COVID-19. El documento explota una vieja pero aún efectiva vulnerabilidad CVE-2017-11882 para entregar el infostealer Agent Tesla. AgentTesla es un malware modular basado en .Net que roba datos de diferentes aplicaciones y credenciales de WiFi, este malware comercial es una de las herramientas favoritas de los estafadores BEC. 

Osman Demir publicó su primer contenido a finales de noviembre de 2019, y ahora tiene más de 100 reglas publicadas, incluyendo contenido que aborda las solicitudes de la Lista de Deseados. Entrevista con Osman Demir: https://socprime.com/blog/interview-with-developer-osman-demir/

 

La detección de amenazas es compatible con las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Tácticas: Acceso Inicial

Técnica: Adjunto Spearphishing (T1193)

 

Otras reglas relacionadas con esta campaña:

Detección de AgentTesla RAT regla de Emir Erdogan – https://tdm.socprime.com/tdm/info/bwpRaR1KCq8h/2gPEG3EB61gt8vwY-DXY/

Ofuscación de PowerShell Por AgentTesla regla de Emir Erdogan – https://tdm.socprime.com/tdm/info/lZkiLjSHfmwQ/PYvnXnEB1-hfOQirOqxi/

Comportamiento de Agent Tesla (detección de Sysmon y PowerShell) por Ariel Millahuel – https://tdm.socprime.com/tdm/info/AgFv1HqhtfgQ/J7Fa43ABqweaiPYIihcd/  

Robo de Contraseñas de WiFi (usando agent tesla mejorado) por Osman Demir – https://tdm.socprime.com/tdm/info/PsBE0K0CXzlB/KCHzlnEBjwDfaYjKDxpo/

Explotación de CVE-2017-11882 por Florian Roth – https://tdm.socprime.com/tdm/info/KUZsK6Fq4Rzi/Bc2JDmsBohFCZEpapqaa/

Explotación de CVE-2017-11882 (posible ataque APT27) por Emir Erdogan – https://tdm.socprime.com/tdm/info/243LAdCcDV9W/FMVH-W4BUORkfSQh6bqx/

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.