Acreditamos que hoje merecidamente damos o título de Regra da Semana à regra Sigma exclusiva desenvolvida por Osman Demir para habilitar a detecção do ransomware VHD: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 Os primeiros ataques usando essa cepa de ransomware começaram em março de 2020 e, somente recentemente, os pesquisadores os vincularam ao Lazarus APT. Isso foi facilitado pela detecção […]
Regras de Caça às Ameaças: Redaman RAT
Hoje, na categoria Regras de Detecção de Ameaças, temos o prazer de apresentar uma nova regra desenvolvida por Ariel Millahuel, que detecta o Redaman RAT: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1 O Redaman é uma forma de trojan bancário distribuído por campanhas de phishing. Foi visto pela primeira vez em 2015 e relatado como o trojan bancário RTM, novas versões […]
Conteúdo de Detecção: Framework de malware multiplataforma MATA pelo Lazarus APT
Na semana passada, pesquisadores relataram sobre a mais nova e notória ferramenta do APT Lazarus, que tem sido usada nos ataques do grupo desde a primavera de 2018. Seu novo ‘brinquedo’ foi nomeado MATA, é uma estrutura modular multiplataforma com vários componentes, incluindo um carregador, orquestrador e múltiplos plugins que podem ser usados para infectar […]
Regras de Caça a Ameaças: MaaS Golden Chickens
Como você sabe, Malware-as-a-Service (MaaS) é um negócio que já se tornou comum e opera em fóruns subterrâneos e mercados negros, oferecendo uma gama de serviços. Os primeiros ataques usando o Golden Chickens MaaS começaram em 2017, e o grupo Cobalt estava entre seus primeiros “clientes”. O sucesso deste projeto depende fortemente de ferramentas e […]
Conteúdo de Detecção: Backdoor RDAT
Na semana passada, pesquisadores publicaram detalhes dos ataques direcionados a telecomunicações do Oriente Médio realizados pelo APT34 (também conhecido como OilRig e Helix Kitten), e ferramentas atualizadas no arsenal deste grupo. Claro, os participantes do Programa Threat Bounty não passaram por isso e publicaram algumas regras para detectar o RDAT Backdoor, mas mais sobre isso […]
Conteúdo de Caça a Ameaças: Emotet Retorna Novamente
Pois nunca houve uma história de maior sofrimento do que esta de mais uma vez o retorno do Emotet. Desta vez, não houve campanhas em grande escala por cerca de sete meses, embora casos isolados de infecção tenham sido registrados e pesquisadores encontraram documentos distribuindo este malware. Os ataques foram retomados na sexta-feira passada, com […]
CVE-2020-3452: Leitura de Arquivo Não Autenticada em Cisco ASA e Detecção de Cisco Firepower
Novamente, saímos do cronograma usual de publicações devido ao surgimento de um exploit para a vulnerabilidade crítica CVE-2020-3452 no Cisco ASA & Cisco Firepower, bem como ao surgimento de regras para detectar a exploração dessa vulnerabilidade. CVE-2020-3452 – mais uma dor de cabeça em Julho CVE-2020-3452 foi descoberta no final do ano passado, mas não […]
Conteúdo de Detecção: Formbook Disparado por PDF Falso (Comportamento Sysmon)
O surto de Covid19 revelou uma série de pontos cegos na cibersegurança. Fazemos o nosso melhor para mantê-lo informado sobre as últimas tendências em nossas Palestras Semanais, webinars, Digestos de conteúdos relevantes. No entanto, a curiosidade humana em meio ao fluxo de informações pode ser um ponto fraco. FormBook, o infostealer conhecido desde 2016, tem […]
Conteúdo de Caça a Ameaças: DNS.exe Falhando (Possível detecção de CVE-2020-1350)
Julho provou ser frutífero para as vulnerabilidades críticas divulgadas: CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewalls) e CVE-2020-1350 (também conhecida como SIGRed, a vulnerabilidade no Microsoft Windows DNS Server). Na semana passada, os colaboradores do Threat Bounty Program e a equipe da […]
Conteúdo de Detecção: Trojan Hancitor
O post de hoje é sobre novas versões do trojan Hancitor e algumas regras lançadas pelo Programa Threat Bounty participantes, o que permite que as soluções de segurança os detectem. Hancitor Trojan (Técnica de Evasão) regra da comunidade por Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 Infecção por Hancitor com Ursnif regra exclusiva por Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ Este malware […]