Contenu de Détection : Attaque Liée à la COVID-19 chez les Fournisseurs Médicaux

[post-views]
mai 05, 2020 · 2 min de lecture
Contenu de Détection : Attaque Liée à la COVID-19 chez les Fournisseurs Médicaux

Nouvelle règle Sigma par Osman Demir pour détecter les attaques de phishing liées au COVID-19 ciblant les fournisseurs médicaux. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/

La campagne a été connue à la fin de la semaine dernière, et les chercheurs pensent qu’elle est associée à des escrocs 419 qui exploitent la pandémie de COVID-19 pour des attaques de compromission d’emails professionnels. Les adversaires envoient des emails de phishing hautement ciblés avec des documents MS Word malveillants enquêtant sur divers matériaux nécessaires pour faire face à la pandémie de COVID-19. Le document exploite la vulnérabilité ancienne mais toujours efficace CVE-2017-11882 pour livrer l’infostealer Agent Tesla. Agent Tesla est un malware modulaire basé sur .Net qui vole des données de différentes applications et les identifiants WiFi, ce malware commercial est l’un des outils favoris des escrocs BEC. 

Osman Demir a publié son premier contenu fin novembre 2019, et il a maintenant plus de 100 règles publiées, y compris du contenu répondant aux demandes de la liste des Wanted. Entretien avec Osman Demir : https://socprime.com/blog/interview-with-developer-osman-demir/

 

La détection des menaces est prise en charge pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR : Carbon Black, Elastic Endpoint

 

MITRE ATT&CK :

Tactiques : Accès initial

Techniques : Pièce jointe de spearphishing (T1193)

 

Autres règles liées à cette campagne :

Détection de RAT AgentTesla règle par Emir Erdogan – https://tdm.socprime.com/tdm/info/bwpRaR1KCq8h/2gPEG3EB61gt8vwY-DXY/

Obfuscation Powershell Par AgentTesla règle par Emir Erdogan – https://tdm.socprime.com/tdm/info/lZkiLjSHfmwQ/PYvnXnEB1-hfOQirOqxi/

Comportement Agent Tesla (détection Sysmon et Powershell) par Ariel Millahuel – https://tdm.socprime.com/tdm/info/AgFv1HqhtfgQ/J7Fa43ABqweaiPYIihcd/  

Voler les mots de passe Wifi (en utilisant un agent tesla amélioré) par Osman Demir – https://tdm.socprime.com/tdm/info/PsBE0K0CXzlB/KCHzlnEBjwDfaYjKDxpo/

Exploitation de CVE-2017-11882 par Florian Roth – https://tdm.socprime.com/tdm/info/KUZsK6Fq4Rzi/Bc2JDmsBohFCZEpapqaa/

Exploitation de CVE-2017-11882 (attaque potentielle APT27) par Emir Erdogan – https://tdm.socprime.com/tdm/info/243LAdCcDV9W/FMVH-W4BUORkfSQh6bqx/

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.