Hoy en la sección de la Regla de la Semana queremos destacar una nueva regla de caza de amenazas de Ariel Millahuel que ayuda a detectar muestras del Bunitu Proxy Trojan: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1 Bunitu Trojan se utiliza para convertir sistemas infectados en un proxy para clientes remotos. Sus acciones maliciosas pueden ralentizar el tráfico de la […]
Higaisa APT se conoce desde noviembre de 2019, cuando los investigadores de Tencent primero documentaron sus actividades. El grupo fue descubierto recientemente, pero los atacantes han estado operando durante varios años y usan herramientas comunes para complicar la atribución. Principalmente utilizan malware móvil y los troyanos Gh0st y PlugX. Los investigadores creen que Higaisa APT […]
A pesar de que aparecen nuevas familias de ransomware con bastante frecuencia, la mayoría de ellas se centran exclusivamente en sistemas Windows. Mucho más interesante es Tycoon, un ransomware multiplataforma en Java que puede cifrar archivos tanto en sistemas Windows como Linux. Se ha observado a esta familia en estado salvaje al menos desde diciembre […]
Hola a todos, volvemos con cinco nuevas reglas enviadas esta semana por los participantes del Programa de Amenazas Bounty. Puedes revisar nuestros resúmenes anteriores aquí, y si tienes alguna pregunta, eres bienvenido al chat. El malware similar a un gusano Pykspa puede instalarse para mantener la persistencia, escuchar el puerto entrante para comandos adicionales y […]
El ransomware Scarab fue detectado por primera vez en junio de 2017 y desde entonces ha estado reapareciendo con nuevas versiones. Este ransomware es una de las muchas variantes de HiddenTear, un troyano de ransomware de código abierto lanzado en 2015. Las versiones de ransomware descubiertas recientemente utilizan un método de cifrado RSA mejorado y […]
PipeMon es un backdoor modular que está firmado con un certificado perteneciente a una empresa de videojuegos, que fue comprometida por el grupo Winnti en 2018. Investigadores de ESET descubrieron este backdoor utilizado en ataques a empresas en Corea del Sur y Taiwán que desarrollan juegos populares en línea multijugador masivo. Nombraron al backdoor PipeMon […]
Esta semana en nuestro resumen hay reglas desarrolladas exclusivamente por participantes del Programa de Recompensas de Amenazas. El actor de amenazas detrás de la reciente variante de Ursnif posiblemente conduzca operaciones de ciberdelito dirigidas que aún están en curso. En el corazón de estas campañas se encuentra una variante del troyano Ursnif que fue reutilizada […]
La semana pasada, CISA, FBI y DoD publicaron informes de análisis de malware sobre herramientas recientemente descubiertas del notorio grupo Lazarus que realizan operaciones en beneficio del gobierno de Corea del Norte. Las variantes de malware, llamadas COPPERHEDGE, TAINTEDSCRIBE y PEBBLEDASH, pueden ser utilizadas para el reconocimiento y la eliminación de información confidencial en sistemas […]
Este resumen incluye reglas tanto de los miembros del Programa de Recompensa de Amenazas como del equipo de SOC Prime. Comencemos con reglas de Arunkumar Krishna que debutarán en nuestro Resumen de Reglas con CVE-2020-0932: Un Error de Ejecución de Código Remoto en Microsoft SharePoint. CVE-2020-0932 fue parcheado en abril, permite que usuarios autenticados ejecuten […]
El troyano Floxif es conocido principalmente por ser utilizado por el grupo Winnti, lo distribuyeron con el CCleaner infectado, que fue descargado por usuarios desde el sitio oficial. El ataque ocurrió en septiembre de 2017, supuestamente los atacantes obtuvieron acceso al entorno de construcción de CCleaner. El troyano Floxif se utilizó junto con el troyano […]