Depuis le début de la pandémie, les solutions de visioconférence sont devenues une partie intégrante du flux de travail dans de nombreuses organisations. Tout d’abord, Zoom a pris les devants, et de nombreux cybercriminels ont immédiatement commencé à l’utiliser dans des campagnes de phishing, profitant du fait qu’un grand nombre d’employés n’avait pas utilisé cette […]
Nous pensons qu’aujourd’hui, nous attribuons à juste titre le titre de Règle de la Semaine à la règle Sigma exclusive développée par Osman Demir pour permettre la détection du ransomware VHD : https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 Les premières attaques utilisant cette souche de ransomware ont commencé en mars 2020, et ce n’est que récemment que les chercheurs ont […]
Encore une fois, nous dérogeons à notre calendrier de publication habituel en raison de l’émergence d’un exploit pour la vulnérabilité critique CVE-2020-3452 dans Cisco ASA & Cisco Firepower, ainsi que de l’apparition de règles pour détecter l’exploitation de cette vulnérabilité. CVE-2020-3452 – un autre casse-tête en juillet CVE-2020-3452 a été découvert à la fin de […]
Aujourd’hui, « Chargement DLL évasif possible / Contournement AWL (via cmdline) » règle publiée par l’équipe SOC Prime est tombée dans notre colonne « Règle de la Semaine« : https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Comme vous le savez, le contrôle d’application (AWL) est une approche proactive qui permet uniquement l’exécution des programmes pré-approuvés et spécifiés. Tout autre programme non répertorié est bloqué par […]
Aujourd’hui, dans la section Règle de la semaine, nous suggérons de prêter attention à la règle publiée par Emir Erdogan. La nouvelle règle aide à détecter le ransomware Thanos, qui a utilisé la tactique RIPlace pour contourner les solutions anti-ransomware : https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1 Le ransomware Thanos est apparu pour la première fois à la fin de […]
Ce mois-ci, des chercheurs ont découvert une attaque en plusieurs étapes menée par un groupe APT non défini. Au cours de cette attaque, les adversaires ont utilisé la fonctionnalité Malleable C2 dans Cobalt Strike pour réaliser des communications C&C et livrer la charge finale. Les chercheurs notent que les attaquants utilisent des techniques d’évasion avancées. […]
Et encore une fois, nous voulons mettre en avant le contenu pour détecter le malware QBot dans la section Règle de la semaine. Il y a environ un mois, une règle simple mais efficace de Emir Erdogan avait déjà été publiée dans cette section. Mais le cheval de Troie vieux de douze ans continue d’évoluer, […]
Dans la Règle de la semaine section, nous vous présentons la Exécution de commande sur Azure VM (via azureactivity) règle par l’équipe SOC Prime : https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1# Les adversaires peuvent abuser des fonctionnalités de l’Azure VM pour établir une présence dans un environnement, qui pourrait être utilisée pour maintenir l’accès et augmenter les privilèges. Ils peuvent […]
Le cheval de Troie bancaire QakBot (alias QBot) a été utilisé dans des attaques contre des organisations depuis plus de 10 ans, et ses auteurs surveillent en continu les tendances du paysage des menaces, ajoutant de nouvelles fonctionnalités ou les supprimant si elles ne fonctionnent pas correctement. En 2017, ce malware possédait des capacités de […]
Cette semaine, nous voulons mettre en lumière la règle Sigma communautaire d’Emir Erdogan qui aide à détecter le ransomware Nefilim/Nephilim utilisé dans les attaques destructrices. Cette famille de ransomware a été découverte il y a deux mois, et son code est basé sur le ransomware NEMTY qui est apparu l’été dernier comme un programme d’affiliation […]