SOC Prime Threat Bounty Digest — Risultati di Aprile 2024

[post-views]
Maggio 13, 2024 · 4 min di lettura
SOC Prime Threat Bounty Digest — Risultati di Aprile 2024

Pubblicazioni di Threat Bounty

Membri entusiasti del Programma Threat Bounty hanno inviato oltre 250 rilevamenti per revisione e una possibilità di pubblicare i loro rilevamenti sulla SOC Prime Platform e ricevere ricompense basate su valutazione. Tutte le regole sono state accuratamente riviste dal nostro team di esperti ingegneri di rilevamento, e come risultato, 59 delle regole inviate sono state pubblicate sul Threat Detection Marketplace.

Esplora Rilevamenti

Per le pubblicazioni dei contenuti di Threat Bounty, tutti i rilevamenti inviati vengono recensiti da un team esperto per determinare se i criteri di accettazione dei contenuti siano soddisfatti. Incoraggiamo i membri del programma ad aderire ai requisiti di accettazione dei contenuti di Threat Bounty per garantire che le regole sviluppate abbiano una alta probabilità di pubblicazione e che gli autori impieghino i loro sforzi nello sviluppo di contenuti in modo ragionevole ed efficiente.

Regole di Rilevamento TOP del Threat Bounty

Si prega di vedere le regole di rilevamento che sono state le più popolari tra le aziende che utilizzano la SOC Prime Platform per le loro operazioni di sicurezza:

  1. Attività sospetta di persistenza malware SSLoad per uso malevolo con Cobalt Strike tramite rilevamento di comandi associati (via process_creation) regola Sigma per la caccia alle minacce di Davut Selcuk rileva l’attività sospetta di persistenza del malware SSLoad potenzialmente associata al dispiegamento di Cobalt Strike. Il rilevamento è basato sull’osservazione di specifici comandi eseguiti tramite eventi di creazione di processi su sistemi Windows.
  2. Attività sospetta di C2 malevolo di ‘MuddyWater contro un obiettivo in Medio Oriente’ tramite rilevamento di PowerShell CommandLine regola Sigma per la caccia alle minacce di Aung Kyaw Min Naing rileva l’esecuzione malevola di PowerShell da parte di MuddyWater contro un obiettivo in Medio Oriente per abusare del registro chiave AutodialDLL e carica DLL per il framework C2.
  3. Possibili attacchi di iniezione comando altamente probabilistici tramite uso di vulnerabilità Rust (CVE-2024-24576) regola per la caccia alle minacce di Emir Erdogan rileva attacchi di iniezione comando di Windows tramite linguaggio di programmazione Rust con l’aiuto dei log di process_creation.
  4. Attività di persistenza sospetta di XWorm tramite rilevamento di comandi associati (via process_creation) regola Sigma per la caccia alle minacce di Davut Selcuk mira a rilevare attività di persistenza sospette associate al malware XWorm. La regola identifica istanze potenziali in cui XWorm stabilisce la persistenza sul sistema usando schtasks.exe.
  5. Possibile attività di persistenza Forest Blizzard tramite aggiunta di registro per distribuire file DLL tramite servizio Windows (via registry_event) regola Sigma per la caccia alle minacce di Nattatorn Chuensangarun rileva attività sospette di Forest Blizzard aggiungendo una chiave di registro per eseguire file DLL malevoli tramite servizi Windows.

Autori Principali

Le regole di rilevamento dei seguenti membri del Programma Threat Bounty sono state le più referenziate dagli utenti attivi che si affidano alla SOC Prime Platform per migliorare le operazioni di sicurezza nelle loro organizzazioni:

Davut Selcuk

Bogac Kaya

Emre Ay

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Siamo felici di annunciare che i seguenti autori hanno ricevuto badge di riconoscimento per i loro attivi contributi alla SOC Prime Platform quest’anno:

Sittikorn Sangrattanapitak and Mehmet Kadir CIRIK – per aver raggiunto il traguardo di 10 pubblicazioni di successo quest’anno

Davut Selcuk – per aver raggiunto 50 pubblicazioni di successo di regole di rilevamento alla SOC Prime Platform nel 2024.

Prossime modifiche

Siamo ansiosi di introdurre un nuovo flusso per i membri del Programma Threat Bounty per creare e gestire le loro regole Threat Bounty tramite Uncoder AI. La prossima release sostituirà completamente il Developer Portal e Sigma Rules Bot per Threat Bounty, e Uncoder AI sarà utilizzato come unico strumento di gestione IDE e di invio contenuti per i membri del Programma Threat Bounty.

Informeremo inoltre i membri di Threat Bounty sui dettagli delle prossime modifiche su Discord, tramite il Developer Portal prima della sua EOL, e via email. Restate sintonizzati sugli annunci e le newsletter a riguardo Programma Threat Bounty

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Blog, Ultime Minacce — 6 min di lettura
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Veronika Telychko
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Blog, Ultime Minacce — 4 min di lettura
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Veronika Telychko