Contenuto di Rilevamento: Attacco Relazionato al COVID-19 presso Fornitori Medici

Eugene Tkachenko Responsabile Programma Comunitario

Add to my AI research

Nuova regola Sigma di Osman Demir aiuta a rilevare attacchi di phishing correlati al COVID-19 mirati ai fornitori medici. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/

La campagna è diventata nota alla fine della scorsa settimana e i ricercatori credono che sia associata a truffatori 419 che sfruttano la pandemia di COVID-19 per attacchi Business Email Compromise. Gli avversari inviano email di phishing altamente mirate con documenti MS Word dannosi richiedendo vari materiali necessari per affrontare la pandemia di COVID-19. Il documento sfrutta la vulnerabilità vecchia ma ancora efficace CVE-2017-11882 per consegnare il malware Agent Tesla infostealer. AgentTesla è un malware modulare basato su .Net che ruba dati da diverse applicazioni e credenziali WiFi, questo malware commerciale è uno degli strumenti preferiti dai truffatori BEC.

Osman Demir ha pubblicato il suo primo contenuto a fine novembre 2019, e ora ha oltre 100 regole pubblicate, compresi contenuti che rispondono alle richieste della Want List. Intervista con Osman Demir: https://socprime.com/blog/interview-with-developer-osman-demir/

La rilevazione delle minacce è supportata per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Accesso Iniziale

Tecnica: Spearphishing Attachment (T1193)

Altre regole relative a questa campagna:

Rilevamento di AgentTesla RAT regola di Emir Erdogan – https://tdm.socprime.com/tdm/info/bwpRaR1KCq8h/2gPEG3EB61gt8vwY-DXY/

Offuscamento Powershell da AgentTesla regola di Emir Erdogan – https://tdm.socprime.com/tdm/info/lZkiLjSHfmwQ/PYvnXnEB1-hfOQirOqxi/

Comportamento di Agent Tesla (rilevamento Sysmon e Powershell) di Ariel Millahuel – https://tdm.socprime.com/tdm/info/AgFv1HqhtfgQ/J7Fa43ABqweaiPYIihcd/

Rubare password Wifi (utilizzando agent tesla aggiornato) di Osman Demir – https://tdm.socprime.com/tdm/info/PsBE0K0CXzlB/KCHzlnEBjwDfaYjKDxpo/

Sfruttamento di CVE-2017-11882 di Florian Roth – https://tdm.socprime.com/tdm/info/KUZsK6Fq4Rzi/Bc2JDmsBohFCZEpapqaa/

Sfruttamento di CVE-2017-11882 (possibile attacco APT27) di Emir Erdogan – https://tdm.socprime.com/tdm/info/243LAdCcDV9W/FMVH-W4BUORkfSQh6bqx/

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis Prenota un incontro

More Ultime Minacce Articles

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181

Feb 11/2025 4 min di lettura Ultime Minacce Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Zahorulko

Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine

Feb 5/2025 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Zahorulko

Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware

Gen 31/2025 4 min di lettura Ultime Minacce Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware by Veronika Zahorulko