Una unidad de ciberespionaje patrocinada por el estado ruso conocida por sus ataques destructivos está comprometiendo activamente servidores de correo Exim a través de una vulnerabilidad crítica de seguridad (CVE-2019-10149). A finales de mayo, la Agencia de Seguridad Nacional publicó un Aviso de Seguridad Cibernética que advirtió sobre una campaña vinculada al Grupo Sandworm. El […]
Resumen de Reglas: Emotet, Ransomware y Troyanos
Hola a todos, volvemos con cinco nuevas reglas enviadas esta semana por los participantes del Programa de Amenazas Bounty. Puedes revisar nuestros resúmenes anteriores aquí, y si tienes alguna pregunta, eres bienvenido al chat. El malware similar a un gusano Pykspa puede instalarse para mantener la persistencia, escuchar el puerto entrante para comandos adicionales y […]
Regla de la Semana: Ejecución de Comandos en Azure VM
En la Regla de la Semana sección, te presentamos la Ejecución de Comandos en Azure VM (vía azureactivity) regla del equipo de SOC Prime: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1# Los adversarios pueden abusar de la funcionalidad de Azure VM para establecer un punto de apoyo en un entorno, lo que podría ser utilizado para mantener el acceso y escalar […]
Contenido de Detección: Himera Loader
La publicación de hoy está dedicada al malware cargador Himera que los adversarios han estado usando en campañas de phishing relacionadas con COVID-19 desde el mes pasado. Los ciberdelincuentes continúan explotando las solicitudes de la Ley de Licencia Familiar y Médica relacionadas con las pandemias de COVID19 en curso como señuelo, ya que este tema […]
Contenido de Caza de Amenazas: Detección de AsyncRat
Hoy, bajo la columna de Contenido de Búsqueda de Amenazas estamos aumentando su interés en la Detección de AsyncRAT (Comportamiento Sysmon) regla comunitaria por Emir Erdogan. La regla permite la detección de AsyncRat utilizando registros de sysmon. Según el autor del proyecto en GitHub, AsyncRat es una Herramienta de Acceso Remoto diseñada para monitorear y […]
Contenido de Detección: Malware APT38
Recientemente publicamos una regla para descubrir una de las herramientas más recientes del notorio grupo APT38 más conocido como Lazarus o Hidden Cobra. Y es hora de seguir publicando contenido para descubrir a este sofisticado grupo cibercriminal. En el artículo de hoy, proporcionaremos los enlaces a contenido de detección reciente de uno de los primeros […]
Contenido de Caza de Amenazas: Botnet Devil Shadow
Hoy en día, durante el confinamiento, muchas organizaciones continúan usando Zoom a nivel corporativo para llevar a cabo reuniones conferenciales, a pesar de los problemas de seguridad encontrados en esta aplicación. Los atacantes han estado explotando la creciente popularidad de esta aplicación durante varios meses, y puede proteger parcialmente su organización de ataques mediante el […]
Resumen de Reglas: Contenido de Detección por el Equipo de SOC Prime
Nos complace presentarle el último Rule Digest, que, a diferencia del digest anterior, consiste en reglas desarrolladas solo por el Equipo de SOC Prime. Esta es una especie de selección temática ya que todas estas reglas ayudan a encontrar actividad maliciosa vía cmdline mediante el análisis de logs de sysmon. Pero antes de pasar directamente […]
Regla de la Semana: Grupo Turla
Turla APT ha estado operando desde 2004 llevando a cabo campañas de ciberespionaje dirigidas a una variedad de industrias, incluidas gobierno, embajadas, militar, educación, investigación y compañías farmacéuticas en Europa, Medio Oriente, Asia y América del Sur. Este es uno de los actores de amenazas más avanzados patrocinados por el estado ruso, conocido por sus […]
Contenido de Detección: Ransomware Scarab
El ransomware Scarab fue detectado por primera vez en junio de 2017 y desde entonces ha estado reapareciendo con nuevas versiones. Este ransomware es una de las muchas variantes de HiddenTear, un troyano de ransomware de código abierto lanzado en 2015. Las versiones de ransomware descubiertas recientemente utilizan un método de cifrado RSA mejorado y […]