La semaine dernière, des chercheurs ont signalé le dernier outil notoire de l’APT Lazarus, qui est utilisé dans les attaques du groupe depuis le printemps 2018. Leur nouveau ‘jouet’ a été nommé MATA, c’est un cadre modulaire multiplateforme avec plusieurs composants, y compris un chargeur, un orchestrateur et de multiples plugins qui peuvent être utilisés […]
Règles de Chasse aux Menaces : Golden Chickens MaaS
Comme vous le savez, le Malware-as-a-Service (MaaS) est une activité qui est déjà devenue courante et qui fonctionne sur les forums clandestins et les marchés noirs offrant une gamme de services. Les premières attaques utilisant le MaaS de Golden Chickens ont commencé en 2017, et le groupe Cobalt était parmi leurs premiers « clients ». Le succès […]
Contenu de Détection : Porte Dérobée RDAT
La semaine dernière, des chercheurs ont publié les détails des attaques ciblées sur les télécommunications du Moyen-Orient menées par APT34 (alias OilRig et Helix Kitten), et mis à jour les outils dans l’arsenal de ce groupe. Bien sûr, les participants au programme Threat Bounty n’ont pas manqué de publier quelques règles pour détecter le RDAT […]
Contenu de Chasse aux Menaces : Emotet Revient Encore Une Fois
Jamais une histoire n’a été plus tragique que celle du retour d’Emotet. Cette fois-ci, il n’y a pas eu de campagnes à grande échelle pendant environ sept mois, bien que des cas isolés d’infection aient été enregistrés et que des chercheurs aient trouvé des documents distribuant ce malware. Les attaques ont repris vendredi dernier, avec […]
CVE-2020-3452 : Lecture de fichier non authentifiée dans Cisco ASA et Cisco Firepower Détection
Encore une fois, nous dérogeons à notre calendrier de publication habituel en raison de l’émergence d’un exploit pour la vulnérabilité critique CVE-2020-3452 dans Cisco ASA & Cisco Firepower, ainsi que de l’apparition de règles pour détecter l’exploitation de cette vulnérabilité. CVE-2020-3452 – un autre casse-tête en juillet CVE-2020-3452 a été découvert à la fin de […]
Contenu de Détection : Formbook Déployé via un Faux PDF (Comportement Sysmon)
L’épidémie de Covid19 a révélé un certain nombre de failles dans la cybersécurité. Nous faisons de notre mieux pour vous tenir au courant des dernières tendances lors de nos discussions hebdomadaires, webinaires, et résumés de contenu pertinents. Cependant, la curiosité humaine dans le flot d’informations peut être un point faible. FormBook, l’infostealer connu depuis 2016, […]
Contenu de Chasse aux Menaces : Plantage de DNS.exe (Détection possible de CVE-2020-1350)
Juillet s’est avéré fructueux pour les vulnérabilités critiques divulguées : CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewalls), et CVE-2020-1350 (alias SIGRed, la vulnérabilité dans Microsoft Windows DNS Server). La semaine dernière, les contributeurs du Threat Bounty Program et l’équipe de SOC Prime ont […]
Contenu de Détection : Cheval de Troie Hancitor
Le message d’aujourd’hui porte sur les nouvelles versions du cheval de Troie Hancitor et quelques règles publiées par Threat Bounty Program participants qui permettent aux solutions de sécurité de les détecter. Cheval de Troie Hancitor (Technique d’évasion) règle communautaire par Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 Infection Hancitor avec Ursnif règle exclusive par Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ Ce malware […]
Digest des Règles : CobaltStrike, APT10 et APT41
Nous sommes ravis de vous présenter le Digest des Règles, qui se compose uniquement de règles développées par l’équipe SOC Prime. C’est une sorte de sélection thématique puisque toutes ces règles permettent de détecter les activités malveillantes des groupes APT liés au gouvernement chinois et l’outil CobaltStrike souvent utilisé par ces groupes dans les campagnes […]
Contenu de Détection : Comportement de GoldenHelper
Cette semaine, nous ne mettrons en avant aucune règle dans la section « Règle de la semaine », car les règles les plus intéressantes ont déjà été publiées dans le digest spécial d’hier, dédié aux règles détectant l’exploitation d’une vulnérabilité critique dans les serveurs DNS Windows, CVE-2020-1350 (alias SIGRed). La publication d’aujourd’hui est dédiée à […]