Digest des Menaces SOC Prime — Résultats d’Août 2024

Création de contenu de détection, soumission et publication

Août 2024 a été un défi pour la communauté cybernétique mondiale, mais il a également été riche en opportunités pour les membres de SOC Prime’s Threat Bounty de gagner une reconnaissance personnelle et de l’argent pour leurs contributions. En août, 22 détections ont été publiées avec succès sur la plateforme SOC Prime, et le double de détections ont été renvoyées aux auteurs pour améliorations avec des recommandations pour renforcer certains aspects de la logique de détection.. 

SOC Prime incite les auteurs les plus talentueux et motivés et publie uniquement des détections qui respectent les critères d’acceptation du programme et démontrent les compétences remarquables de l’auteur en ingénierie de détection. Avec Uncoder AI, les praticiens en cybersécurité peuvent acquérir beaucoup d’expérience pratique et améliorer leurs compétences professionnelles et leur performance en adoptant des technologies émergentes dans leurs routines quotidiennes. 

Règles de détection Threat Bounty les plus populaires

Ces cinq règles contribuant au programme Threat Bounty ont suscité le plus d’intérêt de la part des entreprises qui comptent sur SOC Prime pour améliorer leurs opérations de cybersécurité :

Exécution Powershell Suspecte Pour Async RAT par Détection des Commandes Associées (via powershell) – règle de chasse aux menaces par Osman Demir.

Tentative d’Exploitation d’un Contournement d’Authentification Ivanti Possible (CVE-2024-7593) (via serveur web) – règle de chasse aux menaces par Wirapong Petshagun. Cette règle détecte les motifs d’URL utilisés pour exploiter une vulnérabilité de contournement d’authentification dans Ivanti (CVE-2024-7593). Une exploitation réussie pourrait conduire à un contournement d’authentification et à la création d’un utilisateur administrateur.

Détection Possible de l’Outil Specula Exploitant Microsoft Outlook pour l’Exécution de Code à Distance en Post-Exploitation via des Modifications du Registre (via registry_event) – règle de chasse aux menaces par Davut Selcuk détecte les activités post-exploitation potentielles utilisant l’outil Specula, qui exploite Microsoft Outlook pour l’exécution de code à distance en modifiant les paramètres du registre. Specula peut transformer Outlook en balise de commande et de contrôle (C2), permettant aux attaquants d’exécuter du code malveillant à distance.

Menace Possible Associée au Groupe Chinois (Velvet Ant) Exploité en Abusant des Équilibrages de Charge F5 pour Déployer le Maliciel PlugX (via file_event) – règle de chasse aux menaces par Nattatorn Chuensangarun. Avec cette règle, les utilisateurs de la plateforme SOC Prime peuvent détecter une activité suspecte associée à l’activité du groupe de menaces chinois ‘Velvet Ant’.

Persistance Possible de UNC4393 en Modifiant le Registre pour Exécuter BASTA Ransomware via le Service Skype (via activité du registre) – règle de chasse aux menaces par Nattatorn Chuensangarun. Cette règle détecte une activité suspecte de UNC4393 lorsque l’acteur de la menace modifie la clé du registre pour lancer une charge binaire malveillante pour déployer le ransomware BASTA via Skype.

Meilleurs Auteurs

Les détections des cinq auteurs suivants ont suscité le plus d’attention de la part des spécialistes de la cybersécurité qui comptent sur la plateforme SOC Prime pour renforcer la cybersécurité de leurs organisations :

Osman Demir

Nattatorn Chuensangarun

Emir Erdogan

Sittikorn Sangrattanapitak

Davut Selcuk

Nous sommes heureux d’annoncer qu’en août, Aung Kyaw Min Naing a atteint le jalon de 10 contributions réussies en 2024 et a reçu un badge numérique en tant que contributeur de confiance de la plateforme SOC Prime.

En septembre, nous prévoyons de remettre plusieurs badges aux membres actifs du programme Threat Bounty pour reconnaître et reconnaître leurs compétences dans l’exploitation de multiples fonctionnalités de Uncoder AI pour l’ingénierie de détection. Nous sommes heureux que les membres de Threat Bounty trouvent Uncoder AI utile pour atteindre des résultats dans le programme Threat Bounty et l’utilisent également comme coach pour élargir leur expertise dans le domaine.

Vous cherchez une opportunité de rafraîchir vos compétences en ingénierie de détection avec la technologie assistée par IA et de devenir partie prenante de la défense collective contre les cybermenaces ? Commencez par le programme Threat Bounty aujourd’hui.