Na semana passada, pesquisadores relataram sobre a mais nova e notória ferramenta do APT Lazarus, que tem sido usada nos ataques do grupo desde a primavera de 2018. Seu novo ‘brinquedo’ foi nomeado MATA, é uma estrutura modular multiplataforma com vários componentes, incluindo um carregador, orquestrador e múltiplos plugins que podem ser usados para infectar […]
Regras de Caça a Ameaças: MaaS Golden Chickens
Como você sabe, Malware-as-a-Service (MaaS) é um negócio que já se tornou comum e opera em fóruns subterrâneos e mercados negros, oferecendo uma gama de serviços. Os primeiros ataques usando o Golden Chickens MaaS começaram em 2017, e o grupo Cobalt estava entre seus primeiros “clientes”. O sucesso deste projeto depende fortemente de ferramentas e […]
Conteúdo de Detecção: Backdoor RDAT
Na semana passada, pesquisadores publicaram detalhes dos ataques direcionados a telecomunicações do Oriente Médio realizados pelo APT34 (também conhecido como OilRig e Helix Kitten), e ferramentas atualizadas no arsenal deste grupo. Claro, os participantes do Programa Threat Bounty não passaram por isso e publicaram algumas regras para detectar o RDAT Backdoor, mas mais sobre isso […]
Conteúdo de Caça a Ameaças: Emotet Retorna Novamente
Pois nunca houve uma história de maior sofrimento do que esta de mais uma vez o retorno do Emotet. Desta vez, não houve campanhas em grande escala por cerca de sete meses, embora casos isolados de infecção tenham sido registrados e pesquisadores encontraram documentos distribuindo este malware. Os ataques foram retomados na sexta-feira passada, com […]
CVE-2020-3452: Leitura de Arquivo Não Autenticada em Cisco ASA e Detecção de Cisco Firepower
Novamente, saímos do cronograma usual de publicações devido ao surgimento de um exploit para a vulnerabilidade crítica CVE-2020-3452 no Cisco ASA & Cisco Firepower, bem como ao surgimento de regras para detectar a exploração dessa vulnerabilidade. CVE-2020-3452 – mais uma dor de cabeça em Julho CVE-2020-3452 foi descoberta no final do ano passado, mas não […]
Conteúdo de Detecção: Formbook Disparado por PDF Falso (Comportamento Sysmon)
O surto de Covid19 revelou uma série de pontos cegos na cibersegurança. Fazemos o nosso melhor para mantê-lo informado sobre as últimas tendências em nossas Palestras Semanais, webinars, Digestos de conteúdos relevantes. No entanto, a curiosidade humana em meio ao fluxo de informações pode ser um ponto fraco. FormBook, o infostealer conhecido desde 2016, tem […]
Conteúdo de Caça a Ameaças: DNS.exe Falhando (Possível detecção de CVE-2020-1350)
Julho provou ser frutífero para as vulnerabilidades críticas divulgadas: CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewalls) e CVE-2020-1350 (também conhecida como SIGRed, a vulnerabilidade no Microsoft Windows DNS Server). Na semana passada, os colaboradores do Threat Bounty Program e a equipe da […]
Conteúdo de Detecção: Trojan Hancitor
O post de hoje é sobre novas versões do trojan Hancitor e algumas regras lançadas pelo Programa Threat Bounty participantes, o que permite que as soluções de segurança os detectem. Hancitor Trojan (Técnica de Evasão) regra da comunidade por Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 Infecção por Hancitor com Ursnif regra exclusiva por Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ Este malware […]
Digesto de Regras: CobaltStrike, APT10 e APT41
Temos o prazer de apresentar a você o regular Digest de Regras, que consiste em regras desenvolvidas exclusivamente pela equipe da SOC Prime. Este é um tipo de seleção temática, uma vez que todas essas regras ajudam a encontrar atividades maliciosas de grupos APT ligados ao governo chinês e à ferramenta CobaltStrike, frequentemente usada por […]
Conteúdo de Detecção: Comportamento do GoldenHelper
Esta semana não destacaremos nenhuma regra na seção “Regra da Semana”, porque as regras mais quentes já foram publicadas no digest especial de ontem dedicado às regras que detectam a exploração de uma vulnerabilidade crítica nos Servidores DNS do Windows, CVE-2020-1350 (também conhecida como SIGRed). A publicação de hoje é dedicada à detecção do malware […]