Il y a beaucoup de cas intéressants que vous pouvez trouver en enquêtant sur des anomalies dans les bases de référence du trafic, par exemple, dans FTP, SSH ou HTTPS. Ce guide décrit comment utiliser le « Imperva WAF – Kibana Dashboard, Watchers and Machine Learning for ELK Stack » Content Pack pour détecter les pics anormaux […]
CVE-2023-4634 Détection : Vulnérabilité RCE Non Authentifiée dans le Plugin WordPress Media Library Assistant
Les chercheurs en sécurité ont lancé un avertissement sévère concernant une vulnérabilité critique, désignée comme CVE-2023-4634, qui affecte un nombre alarmant de plus de 70 000 sites WordPress dans le monde. Cette vulnérabilité provient d’une faille de sécurité dans le plugin WordPress Media Library Assistant, un plugin extrêmement populaire et largement utilisé au sein de […]
Renforcer la cybersécurité dans l’industrie financière grâce aux solutions de SOC Prime
Le secteur financier, la pierre angulaire de l’économie mondiale, s’est de plus en plus numérisé ces dernières années. Bien que cette transformation apporte efficacité et commodité, elle expose également les institutions financières à de nombreux défis de cybersécurité. Les acteurs de la menace, allant de groupes de hackers sophistiqués à des individus opportunistes, ciblent constamment […]
Détection des attaques de phishing APT28 : les hackers ciblent le secteur énergétique ukrainien en utilisant le téléchargeur Microsoft Edge, le logiciel TOR et le service Mockbin pour la gestion à distance
À l’aube de l’automne 2023, le groupe de hackers soutenu par la Russie APT28 réapparaît dans l’arène de la cybermenace, ciblant l’infrastructure critique des organisations ukrainiennes du secteur industriel de l’énergie. CERT-UA a récemment publié un avis de sécurité couvrant une attaque par hameçonnage provenant d’une adresse e-mail de faux expéditeur contenant un lien vers […]
Installation et Configuration des Packs de Contenu pour QRadar
Ce guide décrit comment déployer des Content Packs pour QRadar en se basant sur l’exemple recommandé de l’élément de contenu « SOC Prime – Sigma Custom Event Properties » disponible sur la plateforme SOC Prime. Ce Content Pack recommandé contient des propriétés d’événements personnalisées étendues utilisées dans les traductions Sigma. Remarque :SOC Prime recommande d’installer […]
Détection de la CVE-2023-38831 : le groupe UAC-0057 exploite une vulnérabilité jour zéro de WinRAR pour diffuser une variante de PicassoLoader et un Beacon CobaltStrike via l’algorithme Rabbit
The Collectif de hackers UAC-0057, alias GhostWriter, réapparaît dans l’arène des cybermenaces en abusant d’une vulnérabilité zero-day de WinRAR suivie sous la référence CVE-2023-38831, exploitée dans la nature d’avril à août 2023. L’exploitation réussie de CVE-2023-38831 permet aux assaillants d’infecter les systèmes ciblés avec une variante de PicassoLoader et le malware Cobalt Strike Beacon. Notamment, […]
Détection d’Exploitation des Vulnérabilités de Junos OS : Les Hackers Exploitent la Chaîne de Failles RCE CVE-2023-36844 en Abusant des Périphériques Juniper Après la Publication du PoC
Les adversaires exploitent quatre failles de sécurité RCE nouvellement découvertes dans le composant J-Web de Junos OS suivies comme CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 et CVE-2023-3684. Les vulnérabilités identifiées peuvent être enchaînées, permettant aux attaquants d’exécuter du code arbitraire sur les instances compromises. Après la divulgation d’un PoC exploit permettant l’enchaînement des failles Juniper JunOS, les défenseurs […]
Attaques UAC-0173 : Les instances judiciaires ukrainiennes et les notaires massivement ciblés par le malware AsyncRAT
Les experts en cybersécurité observent une augmentation significative des volumes d’activités malveillantes visant les secteurs public et privé ukrainiens, avec des forces offensives s’appuyant fréquemment sur le vecteur d’attaque par hameçonnage pour procéder à l’intrusion. CERT-UA informe les défenseurs du cyberespace de la campagne malveillante en cours contre les corps judiciaires et les notaires en […]
SOC Prime sur Discord : Rejoignez une communauté unique pour que tous les défenseurs du cyber profitent d’une expertise partagée
En février 2023, SOC Prime a lancé sa communauté de serveur Discord connectant dans un même espace les passionnés de cybersécurité en herbe et les experts chevronnés. La communauté sert de plus grand hub open-source mondial pour les Threat Hunters, les analystes CTI et SOC, et les ingénieurs en détection — tous ceux ayant une […]
Détecter les infections du groupe de menace Cuba Ransomware : Nouveaux outils appliqués dans les attaques contre les organisations d’infrastructure critique aux États-Unis.
Actif depuis 2019, les opérateurs du ransomware Cuba évoluent constamment dans leurs méthodes d’attaque et semblent ne pas s’arrêter là. Les opérations malveillantes les plus récentes contre des organisations aux États-Unis et en Amérique latine reposent sur la combinaison d’outils nouveaux et anciens. Particulièrement, les mainteneurs de Cuba ont ajouté une exploitation Veeam (CVE-2023-27532) à […]