Como sabes, el Malware como Servicio (MaaS) es un negocio que se ha convertido en algo común y opera en los foros clandestinos y mercados negros ofreciendo una gama de servicios. Los primeros ataques utilizando Golden Chickens MaaS comenzaron en 2017, y el grupo Cobalt estuvo entre sus primeros «clientes». El éxito de este proyecto […]
Contenido de Detección: Backdoor RDAT
La semana pasada, investigadores publicaron detalles de los ataques dirigidos a las telecomunicaciones del Medio Oriente llevados a cabo por APT34 (también conocido como OilRig y Helix Kitten), y actualizaron las herramientas en el arsenal de este grupo. Por supuesto, los participantes en el Programa de Recompensas de Amenazas no pasaron por alto y publicaron […]
Contenido de Búsqueda de Amenazas: Emotet Regresa Una Vez Más
Nunca hubo una historia de más desdicha que esta de Emotet retornando una vez más. Esta vez, no hubo campañas a gran escala durante unos siete meses, aunque se registraron casos aislados de infección y los investigadores encontraron documentos distribuyendo este malware. Los ataques se reanudaron el pasado viernes, con la botnet enviando alrededor de […]
CVE-2020-3452: Lectura de Archivos no Autenticada en Cisco ASA y Detección de Cisco Firepower
Nuevamente, salimos del programa de publicaciones habitual debido a la aparición de un exploit para la vulnerabilidad crítica CVE-2020-3452 en Cisco ASA y Cisco Firepower, así como el surgimiento de reglas para detectar la explotación de esta vulnerabilidad. CVE-2020-3452 – otro dolor de cabeza en julio CVE-2020-3452 fue descubierta a finales del año pasado, pero […]
Contenido de Detección: Formbook Distribuido a través de Falso PDF (Comportamiento de Sysmon)
El brote de Covid19 ha revelado una serie de puntos ciegos de la ciberseguridad. Hacemos lo mejor para mantenerlo informado sobre las últimas tendencias en nuestras Charlas Semanales, seminarios web, Digests de contenido relevante. Sin embargo, la curiosidad humana en el flujo de información puede ser un punto débil. FormBook, el infostealer conocido desde 2016, […]
Contenido de Caza de Amenazas: Fallo de DNS.exe (Posible detección de CVE-2020-1350)
Julio resultó ser fructífero para las vulnerabilidades críticas divulgadas: CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewalls), y CVE-2020-1350 (también conocida como SIGRed, la vulnerabilidad en el servidor DNS de Microsoft Windows). La semana pasada, los colaboradores del Programa de Recompensas de Amenazas […]
Contenido de Detección: Troyano Hancitor
El post de hoy trata sobre nuevas versiones del troyano Hancitor y un par de reglas publicadas por Programa de Recompensas por Amenazas participantes que permiten a las soluciones de seguridad detectarlas. Troyano Hancitor (Técnica de Evasión) regla comunitaria por Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 infección Hancitor con Ursnif regla exclusiva por Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ Este malware […]
Resumen de Reglas: CobaltStrike, APT10 y APT41
Nos complace presentarle el Resumen de Reglas, que consiste en reglas desarrolladas únicamente por el equipo de SOC Prime. Esta es una especie de selección temática ya que todas estas reglas ayudan a encontrar actividad maliciosa de grupos APT vinculados al gobierno chino y la herramienta CobaltStrike, frecuentemente utilizada por estos grupos en campañas de […]
Contenido de Detección: Comportamiento de GoldenHelper
Esta semana no destacaremos ninguna regla en la sección «Regla de la Semana», porque las reglas más candentes ya fueron publicadas en el digest especial dedicado a las reglas que detectan la explotación de una vulnerabilidad crítica en los servidores DNS de Windows, CVE-2020-1350 (también conocido como SIGRed). La publicación de hoy está dedicada a […]
Detección de la Explotación de CVE-2020-1350 (SIGRed) con Reglas de Caza de Amenazas
Hoy presentamos un resumen especial de contenido que ayuda a detectar la explotación de una vulnerabilidad crítica en los servidores DNS de Windows. La vulnerabilidad se conoció hace solo dos días, pero desde entonces, tanto el equipo de SOC Prime (representado por Nate Guagenty) como los participantes del Programa Threat Bounty han publicado más de […]