Contenuto di Rilevamento: Attacco Relazionato al COVID-19 presso Fornitori Medici

[post-views]
Maggio 05, 2020 · 2 min di lettura
Contenuto di Rilevamento: Attacco Relazionato al COVID-19 presso Fornitori Medici

Nuova regola Sigma di Osman Demir aiuta a rilevare attacchi di phishing correlati al COVID-19 mirati ai fornitori medici. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/

La campagna è diventata nota alla fine della scorsa settimana e i ricercatori credono che sia associata a truffatori 419 che sfruttano la pandemia di COVID-19 per attacchi Business Email Compromise. Gli avversari inviano email di phishing altamente mirate con documenti MS Word dannosi richiedendo vari materiali necessari per affrontare la pandemia di COVID-19. Il documento sfrutta la vulnerabilità vecchia ma ancora efficace CVE-2017-11882 per consegnare il malware Agent Tesla infostealer. AgentTesla è un malware modulare basato su .Net che ruba dati da diverse applicazioni e credenziali WiFi, questo malware commerciale è uno degli strumenti preferiti dai truffatori BEC. 

Osman Demir ha pubblicato il suo primo contenuto a fine novembre 2019, e ora ha oltre 100 regole pubblicate, compresi contenuti che rispondono alle richieste della Want List. Intervista con Osman Demir: https://socprime.com/blog/interview-with-developer-osman-demir/

 

La rilevazione delle minacce è supportata per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Tattiche: Accesso Iniziale

Tecnica: Spearphishing Attachment (T1193)

 

Altre regole relative a questa campagna:

Rilevamento di AgentTesla RAT regola di Emir Erdogan – https://tdm.socprime.com/tdm/info/bwpRaR1KCq8h/2gPEG3EB61gt8vwY-DXY/

Offuscamento Powershell da AgentTesla regola di Emir Erdogan – https://tdm.socprime.com/tdm/info/lZkiLjSHfmwQ/PYvnXnEB1-hfOQirOqxi/

Comportamento di Agent Tesla (rilevamento Sysmon e Powershell) di Ariel Millahuel – https://tdm.socprime.com/tdm/info/AgFv1HqhtfgQ/J7Fa43ABqweaiPYIihcd/  

Rubare password Wifi (utilizzando agent tesla aggiornato) di Osman Demir – https://tdm.socprime.com/tdm/info/PsBE0K0CXzlB/KCHzlnEBjwDfaYjKDxpo/

Sfruttamento di CVE-2017-11882 di Florian Roth – https://tdm.socprime.com/tdm/info/KUZsK6Fq4Rzi/Bc2JDmsBohFCZEpapqaa/

Sfruttamento di CVE-2017-11882 (possibile attacco APT27) di Emir Erdogan – https://tdm.socprime.com/tdm/info/243LAdCcDV9W/FMVH-W4BUORkfSQh6bqx/

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Blog, Piattaforma SOC Prime — 3 min di lettura
Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Steven Edwards
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Blog, Ultime Minacce — 6 min di lettura
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Veronika Telychko