Hoy queremos prestar atención a la regla IOC Sigma de la comunidad enviada por Ariel Millahuel para detectar la creación de directorios simulados que pueden usarse para eludir el Control de Cuentas de Usuario (UAC): https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1 Un directorio simulado es una imitación específica de una carpeta de Windows con un espacio al final de su […]
Contenido de Detección: Bazar Loader
Este otoño ha traído otro desafío para los guardianes de las infraestructuras corporativas. A principios de este año, a finales de abril, los desarrolladores de TrickBot usaron un nuevo backdoor sigiloso en una campaña de phishing dirigida a servicios profesionales, salud, manufactura, TI, logística y empresas de viajes en los Estados Unidos y Europa. Muchos […]
Regla de la Semana: Detección de Ransomware VHD
Creemos que hoy merecidamente damos el título de Regla de la Semana a la exclusiva regla Sigma desarrollada por Osman Demir para habilitar la detección del ransomware VHD: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 Los primeros ataques utilizando esta cepa de ransomware comenzaron en marzo de 2020, y solo recientemente los investigadores han vinculado a Lazarus APT. Esto fue facilitado […]
Reglas de Caza de Amenazas: Redaman RAT
Hoy, en la categoría de Reglas de Caza de Amenazas, nos complace presentarle una nueva regla desarrollada por Ariel Millahuel, que detecta Redaman RAT: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1 Redaman es una forma de troyano bancario distribuido por campañas de phishing. Se vio por primera vez en 2015 y se informó como el troyano bancario RTM, nuevas versiones de […]
Contenido de Detección: MATA, un marco de malware multiplataforma del grupo Lazarus APT
La semana pasada, los investigadores informaron sobre la última herramienta notoria del APT Lazarus, que ha sido utilizada en los ataques del grupo desde la primavera de 2018. Su nuevo ‘juguete’ fue nombrado MATA, es un framework modular multiplataforma con varios componentes, incluyendo un cargador, orquestador y múltiples plugins que pueden ser utilizados para infectar […]
Reglas de Caza de Amenazas: Golden Chickens MaaS
Como sabes, el Malware como Servicio (MaaS) es un negocio que se ha convertido en algo común y opera en los foros clandestinos y mercados negros ofreciendo una gama de servicios. Los primeros ataques utilizando Golden Chickens MaaS comenzaron en 2017, y el grupo Cobalt estuvo entre sus primeros «clientes». El éxito de este proyecto […]
Contenido de Detección: Backdoor RDAT
La semana pasada, investigadores publicaron detalles de los ataques dirigidos a las telecomunicaciones del Medio Oriente llevados a cabo por APT34 (también conocido como OilRig y Helix Kitten), y actualizaron las herramientas en el arsenal de este grupo. Por supuesto, los participantes en el Programa de Recompensas de Amenazas no pasaron por alto y publicaron […]
Contenido de Búsqueda de Amenazas: Emotet Regresa Una Vez Más
Nunca hubo una historia de más desdicha que esta de Emotet retornando una vez más. Esta vez, no hubo campañas a gran escala durante unos siete meses, aunque se registraron casos aislados de infección y los investigadores encontraron documentos distribuyendo este malware. Los ataques se reanudaron el pasado viernes, con la botnet enviando alrededor de […]
CVE-2020-3452: Lectura de Archivos no Autenticada en Cisco ASA y Detección de Cisco Firepower
Nuevamente, salimos del programa de publicaciones habitual debido a la aparición de un exploit para la vulnerabilidad crítica CVE-2020-3452 en Cisco ASA y Cisco Firepower, así como el surgimiento de reglas para detectar la explotación de esta vulnerabilidad. CVE-2020-3452 – otro dolor de cabeza en julio CVE-2020-3452 fue descubierta a finales del año pasado, pero […]
Contenido de Detección: Formbook Distribuido a través de Falso PDF (Comportamiento de Sysmon)
El brote de Covid19 ha revelado una serie de puntos ciegos de la ciberseguridad. Hacemos lo mejor para mantenerlo informado sobre las últimas tendencias en nuestras Charlas Semanales, seminarios web, Digests de contenido relevante. Sin embargo, la curiosidad humana en el flujo de información puede ser un punto débil. FormBook, el infostealer conocido desde 2016, […]