Contenu de Chasse aux Menaces : Emotet Revient Encore Une Fois

[post-views]
juillet 24, 2020 · 2 min de lecture
Contenu de Chasse aux Menaces : Emotet Revient Encore Une Fois

Jamais une histoire n’a été plus tragique que celle du retour d’Emotet. Cette fois-ci, il n’y a pas eu de campagnes à grande échelle pendant environ sept mois, bien que des cas isolés d’infection aient été enregistrés et que des chercheurs aient trouvé des documents distribuant ce malware. Les attaques ont repris vendredi dernier, avec le botnet envoyant environ 250 000 emails en quelques heures, ciblant principalement des destinataires aux États-Unis et au Royaume-Uni. Depuis lors, le botnet a continué de fournir aux chercheurs de nouveaux échantillons occupant une position de premier plan sur any.run. 

Dans les campagnes récentes, le botnet a distribué le trojan IcedID , mais les attaquants peuvent rapidement le reconfigurer pour toute charge utile. Rappelons que l’année dernière, Emotet est parti en vacances pour tout l’été l’été entier et après longtemps ‘a retrouvé ses esprits’. Cette fois-ci, tout s’est passé plus vite, et nous attendons déjà avec impatience ses prochaines longues vacances. En attendant, les membres du Threat Bounty Program vous présentent du contenu communautaire récent pour détecter cette menace :

Emotet à travers des documents Word (Comportement Sysmon) by Lee Archinalhttps://tdm.socprime.com/tdm/info/2tYN2TlMxm0a/zMQad3MBQAH5UgbB7xy7/?p=1

L’ennemi public du cyberespace Emotet est de retour by Osman Demirhttps://tdm.socprime.com/tdm/info/mX8YnI2czLHA/pMYLe3MBQAH5UgbBgol9/?p=1

 

Les règles ont des traductions pour les plateformes suivantes:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tactiques : Accès initial, Exécution, Contournement de défense, Commande et contrôle

Techniques: Pièce jointe d’hameçonnage ciblé (T1193), Interface en ligne de commande (T1059), Suppression d’indicateurs sur l’hôte (T1070), Protocole d’application standard (T1071)



Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Threat Bounty Program pour créer votre propre contenu et le partager avec la communauté TDM.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Articles connexes