Le cheval de Troie bancaire QakBot (alias QBot) a été utilisé dans des attaques contre des organisations depuis plus de 10 ans, et ses auteurs surveillent en continu les tendances du paysage des menaces, ajoutant de nouvelles fonctionnalités ou les supprimant si elles ne fonctionnent pas correctement. En 2017, ce malware possédait des capacités de […]
Contenu de Détection : Campagne du Voleur d’Informations Kpot
La COVID-19 est de loin le sujet le plus exploité par les cybercriminels dans les campagnes de phishing et de malspam. Récemment, les attaquants ont trouvé un moyen nouveau et efficace de convaincre l’utilisateur d’ouvrir une pièce jointe malveillante. Les chercheurs d’IBM X-Force ont découvert une campagne malveillante qui utilisait des e-mails prétendant être des […]
Contenu de Recherche de Menaces : Cheval de Troie TAINTEDSCRIBE
La semaine dernière, CISA, FBI et DoD ont publié des rapports d’analyse de logiciels malveillants sur des outils récemment découverts du célèbre groupe Lazarus qui effectuent des opérations dans l’intérêt du gouvernement nord-coréen. Les variantes de logiciels malveillants, appelées COPPERHEDGE, TAINTEDSCRIBE, et PEBBLEDASH, peuvent être utilisées pour la reconnaissance et la suppression d’informations confidentielles sur […]
Contenu de Détection : Chasse au Netwire RAT
NetWire est un cheval de Troie d’accès à distance disponible publiquement qui fait partie de la famille de logiciels malveillants NetWiredRC utilisés par les cybercriminels depuis 2012. Sa fonctionnalité principale est axée sur le vol d’informations d’identification et la capture de frappes au clavier, mais il dispose également de capacités de contrôle à distance. Les […]
Entretien avec le Développeur : Emir Erdogan
Nous continuons à interviewer les membres du Threat Bounty Program (https://my.socprime.com/en/tdm-developers), et aujourd’hui, nous souhaitons vous présenter Emir Erdogan. Emir participe à ce programme depuis septembre 2019, il a plus de 110 règles Sigma publiées à son nom, mais Emir publie également des règles YARA pour détecter des menaces réelles. Ses règles se retrouvent souvent […]
Contenu de Chasse aux Menaces : Détection Multiple HawkEye
Nous commençons la semaine avec une nouvelle règle d’Emir Erdogan – Détection Multiple HawkEye (Campagne de Phishing Thématique Covid19). Ce malware, également connu sous le nom de Predator Pain, vole une variété d’informations sensibles du système infecté, y compris des informations de portefeuille bitcoin et des identifiants pour les navigateurs et les clients de messagerie. […]
Digest de Règles : RCE, CVE, OilRig et plus
Cette synthèse inclut des règles de la part des membres du Threat Bounty Program ainsi que de l’équipe SOC Prime. Commençons par les règles de Arunkumar Krishna qui feront leur début dans notre Rule Digest avec CVE-2020-0932 : une vulnérabilité d’exécution de code à distance dans Microsoft SharePoint. CVE-2020-0932 a été corrigée en avril, elle […]
Règle de la Semaine : Détection du Ransomware Nefilim/Nephilim
Cette semaine, nous voulons mettre en lumière la règle Sigma communautaire d’Emir Erdogan qui aide à détecter le ransomware Nefilim/Nephilim utilisé dans les attaques destructrices. Cette famille de ransomware a été découverte il y a deux mois, et son code est basé sur le ransomware NEMTY qui est apparu l’été dernier comme un programme d’affiliation […]
Contenu de Chasse aux Menaces : Campagnes Remcos RAT COVID19
Remcos RAT a été repéré pour la première fois en 2016. Aujourd’hui, il se présente comme un outil d’accès à distance légitime, mais il a été utilisé dans de multiples campagnes de piratage mondiales. Sur divers sites et forums, les cybercriminels font la publicité, vendent et proposent la version crackée de ce malware. Depuis le […]
Contenu de détection : Cheval de Troie Floxif
Le trojan Floxif est principalement connu pour avoir été utilisé par le groupe Winnti. Ils l’ont distribué avec le CCleaner infecté, qui a été téléchargé par les utilisateurs depuis le site officiel. L’attaque a eu lieu en septembre 2017, les attaquants auraient accédé à l’environnement de construction de CCleaner. Le trojan Floxif a été utilisé […]