Cette semaine, notre Résumé des Règles couvre plus de contenu que d’habitude. Il compile des règles pour détecter les récentes attaques d’acteurs parrainés par l’État, les campagnes de logiciels malveillants menées par des cybercriminels, et l’abus de la télémétrie Windows. Mustang Panda est le groupe de menace basé en Chine qui a démontré une […]
Règle de la Semaine : Cheval de Troie Bunitu
Aujourd’hui dans la section Règle de la semaine, nous voulons mettre en avant une nouvelle règle de chasse aux menaces d’Ariel Millahuel qui aide à détecter les échantillons de Bunitu Proxy Trojan : https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1 Le Trojan Bunitu est utilisé pour transformer des systèmes infectés en proxy pour les clients distants. Ses actions malveillantes peuvent ralentir […]
Contenu de Chasse aux Menaces : Higaisa APT
APT Higaisa est connu depuis novembre 2019, lorsque les chercheurs de Tencent ont d’abord documenté ses activités. Le groupe a été découvert récemment, mais les attaquants opèrent depuis plusieurs années et utilisent des outils courants pour compliquer l’attribution. Ils utilisent principalement des malwares mobiles ainsi que les chevaux de Troie Gh0st et PlugX. Les chercheurs […]
Contenu de détection : Ransomware Tycoon
Bien que de nouvelles familles de ransomware apparaissent assez souvent, la plupart d’entre elles sont exclusivement concentrées sur les systèmes Windows. Tycoon est bien plus intéressant, un ransomware Java multiplateforme capable de chiffrer des fichiers sur les systèmes Windows et Linux. Cette famille a été observée dans la nature depuis au moins décembre 2019. Ses […]
Contenu de Chasse aux Menaces : Campagne d’Espionnage par le Groupe Sandworm
Unité de cyber-espionnage parrainée par l’État russe connue pour ses attaques destructrices, compromet activement les serveurs de messagerie Exim via une faille de sécurité critique (CVE-2019-10149). Fin mai, l’Agence de sécurité nationale a publié un avis de sécurité cybernétique qui alertait sur une campagne liée au groupe Sandworm. Ce groupe est surtout connu pour sa […]
Résumé de règles : Emotet, Ransomware et Chevaux de Troie
Bonjour à tous, nous sommes de retour avec cinq nouvelles règles soumises cette semaine par les participants du Threat Bounty Program. Vous pouvez consulter nos précédents résumés ici, et si vous avez des questions, alors bienvenue dans le chat. Le malware de type ver Pykspa peut s’installer pour maintenir sa persistance, écouter le port entrant […]
Règle de la semaine : Exécution de commande sur une VM Azure
Dans la Règle de la semaine section, nous vous présentons la Exécution de commande sur Azure VM (via azureactivity) règle par l’équipe SOC Prime : https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1# Les adversaires peuvent abuser des fonctionnalités de l’Azure VM pour établir une présence dans un environnement, qui pourrait être utilisée pour maintenir l’accès et augmenter les privilèges. Ils peuvent […]
Contenu de Détection : Himera Loader
Le post d’aujourd’hui est dédié au malware chargeur Himera que les adversaires utilisent dans des campagnes de phishing liées au COVID-19 depuis le mois dernier. Les cybercriminels continuent d’exploiter les demandes d’actes de congé familial et médical liées aux pandémies continuelles de COVID-19 comme appât, puisque ce thème a déjà prouvé son efficacité dans la […]
Contenu de Chasse aux Menaces: Détection d’AsyncRat
Aujourd’hui, sous la rubrique Contenu de Threat Hunting nous suscitons votre intérêt pour la Détection AsyncRAT (Comportement Sysmon) règle communautaire par Emir Erdogan. La règle permet de détecter AsyncRat en utilisant les journaux sysmon. Selon l’auteur du projet sur GitHub, AsyncRat est un outil d’accès à distance conçu pour surveiller et contrôler d’autres ordinateurs à […]
Contenu de Détection : Malware APT38
Nous avons récemment publié une règle pour découvrir l’un des derniers outils du célèbre groupe APT38 mieux connu sous le nom de Lazarus ou Hidden Cobra. Et il est temps de continuer à publier du contenu pour découvrir ce groupe cybercriminel sophistiqué. Dans l’article d’aujourd’hui, nous donnerons des liens vers du contenu de détection récent […]