Aujourd’hui dans la section Règle de la semaine, nous voulons mettre en avant une nouvelle règle de chasse aux menaces d’Ariel Millahuel qui aide à détecter les échantillons de Bunitu Proxy Trojan : https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1 Le Trojan Bunitu est utilisé pour transformer des systèmes infectés en proxy pour les clients distants. Ses actions malveillantes peuvent ralentir […]
APT Higaisa est connu depuis novembre 2019, lorsque les chercheurs de Tencent ont d’abord documenté ses activités. Le groupe a été découvert récemment, mais les attaquants opèrent depuis plusieurs années et utilisent des outils courants pour compliquer l’attribution. Ils utilisent principalement des malwares mobiles ainsi que les chevaux de Troie Gh0st et PlugX. Les chercheurs […]
Bien que de nouvelles familles de ransomware apparaissent assez souvent, la plupart d’entre elles sont exclusivement concentrées sur les systèmes Windows. Tycoon est bien plus intéressant, un ransomware Java multiplateforme capable de chiffrer des fichiers sur les systèmes Windows et Linux. Cette famille a été observée dans la nature depuis au moins décembre 2019. Ses […]
Bonjour à tous, nous sommes de retour avec cinq nouvelles règles soumises cette semaine par les participants du Threat Bounty Program. Vous pouvez consulter nos précédents résumés ici, et si vous avez des questions, alors bienvenue dans le chat. Le malware de type ver Pykspa peut s’installer pour maintenir sa persistance, écouter le port entrant […]
Le ransomware Scarab a été repéré pour la première fois en juin 2017 et est réapparu avec de nouvelles versions depuis lors. Ce ransomware est l’une des nombreuses variantes de HiddenTear, un cheval de Troie ransomware open source publié en 2015. Les versions de ransomware récemment découvertes utilisent une méthode de chiffrement RSA améliorée et […]
PipeMon est une porte dérobée modulaire signée avec un certificat appartenant à une entreprise de jeux vidéo, qui a été compromise par le groupe Winnti en 2018. Les chercheurs d’ESET ont découvert cette porte dérobée utilisée dans des attaques contre des entreprises en Corée du Sud et à Taïwan qui développent des jeux en ligne […]
Cette semaine dans notre résumé, il y a des règles exclusivement développées par les participants du Programme de Prime de Menace. L’acteur de la menace derrière le dernier variant d’Ursnif mène possiblement des opérations de cybercriminalité ciblées qui sont toujours en cours. Au cœur de ces campagnes se trouve un variant du cheval de Troie […]
La semaine dernière, CISA, FBI et DoD ont publié des rapports d’analyse de logiciels malveillants sur des outils récemment découverts du célèbre groupe Lazarus qui effectuent des opérations dans l’intérêt du gouvernement nord-coréen. Les variantes de logiciels malveillants, appelées COPPERHEDGE, TAINTEDSCRIBE, et PEBBLEDASH, peuvent être utilisées pour la reconnaissance et la suppression d’informations confidentielles sur […]
Cette synthèse inclut des règles de la part des membres du Threat Bounty Program ainsi que de l’équipe SOC Prime. Commençons par les règles de Arunkumar Krishna qui feront leur début dans notre Rule Digest avec CVE-2020-0932 : une vulnérabilité d’exécution de code à distance dans Microsoft SharePoint. CVE-2020-0932 a été corrigée en avril, elle […]
Le trojan Floxif est principalement connu pour avoir été utilisé par le groupe Winnti. Ils l’ont distribué avec le CCleaner infecté, qui a été téléchargé par les utilisateurs depuis le site officiel. L’attaque a eu lieu en septembre 2017, les attaquants auraient accédé à l’environnement de construction de CCleaner. Le trojan Floxif a été utilisé […]