Contenido de Detección: Ataque Relacionado con COVID-19 en Proveedores Médicos

Eugene Tkachenko Líder del Programa Comunitario

Add to my AI research

La nueva regla de Sigma de Osman Demir ayuda a detectar ataques de phishing relacionados con COVID-19 dirigidos a proveedores médicos. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/

La campaña se conoció a finales de la semana pasada, y los investigadores creen que está asociada con estafadores 419 que explotan la pandemia de COVID-19 para ataques de compromiso de correo electrónico empresarial. Los adversarios envían correos electrónicos de phishing altamente dirigidos con documentos maliciosos de MS Word preguntando sobre varios materiales necesarios para abordar la pandemia de COVID-19. El documento explota una vieja pero aún efectiva vulnerabilidad CVE-2017-11882 para entregar el infostealer Agent Tesla. AgentTesla es un malware modular basado en .Net que roba datos de diferentes aplicaciones y credenciales de WiFi, este malware comercial es una de las herramientas favoritas de los estafadores BEC.

Osman Demir publicó su primer contenido a finales de noviembre de 2019, y ahora tiene más de 100 reglas publicadas, incluyendo contenido que aborda las solicitudes de la Lista de Deseados. Entrevista con Osman Demir: https://socprime.com/blog/interview-with-developer-osman-demir/

La detección de amenazas es compatible con las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Acceso Inicial

Técnica: Adjunto Spearphishing (T1193)

Otras reglas relacionadas con esta campaña:

Detección de AgentTesla RAT regla de Emir Erdogan – https://tdm.socprime.com/tdm/info/bwpRaR1KCq8h/2gPEG3EB61gt8vwY-DXY/

Ofuscación de PowerShell Por AgentTesla regla de Emir Erdogan – https://tdm.socprime.com/tdm/info/lZkiLjSHfmwQ/PYvnXnEB1-hfOQirOqxi/

Comportamiento de Agent Tesla (detección de Sysmon y PowerShell) por Ariel Millahuel – https://tdm.socprime.com/tdm/info/AgFv1HqhtfgQ/J7Fa43ABqweaiPYIihcd/

Robo de Contraseñas de WiFi (usando agent tesla mejorado) por Osman Demir – https://tdm.socprime.com/tdm/info/PsBE0K0CXzlB/KCHzlnEBjwDfaYjKDxpo/

Explotación de CVE-2017-11882 por Florian Roth – https://tdm.socprime.com/tdm/info/KUZsK6Fq4Rzi/Bc2JDmsBohFCZEpapqaa/

Explotación de CVE-2017-11882 (posible ataque APT27) por Emir Erdogan – https://tdm.socprime.com/tdm/info/243LAdCcDV9W/FMVH-W4BUORkfSQh6bqx/

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis Programa una reunión

More Últimas Amenazas Articles

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore

Feb 11/2025 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Zahorulko

Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas

Feb 5/2025 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Zahorulko

Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware

Ene 31/2025 4 min de lectura Últimas Amenazas Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware by Veronika Zahorulko