Esta semana o nosso Resumo de Regras cobre mais conteúdo do que o habitual. Compila regras para detectar ataques recentes de atores patrocinados por Estados, campanhas de malware conduzidas por cibercriminosos e abuso da telemetria do Windows. Mustang Panda é o grupo de ameaça baseado na China que demonstrou a habilidade de rapidamente assimilar […]
Regra da Semana: Trojan Bunitu
Hoje, na seção Regra da Semana, queremos destacar uma nova regra de caça a ameaças de Ariel Millahuel que ajuda a detectar amostras do Bunitu Proxy Trojan: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1 O Bunitu Trojan é usado para transformar sistemas infectados em um proxy para clientes remotos. Suas ações maliciosas podem desacelerar o tráfego de rede, e os adversários […]
Conteúdo de Caça a Ameaças: Higaisa APT
Higaisa APT é conhecida desde novembro de 2019, quando pesquisadores da Tencent primeiramente documentaram suas atividades. O grupo foi descoberto recentemente, mas os atacantes têm operado por vários anos e usam ferramentas comuns para complicar a atribuição. Eles usam principalmente malware móvel e os trojans Gh0st e PlugX. Pesquisadores acreditam que a Higaisa APT é […]
Conteúdo de Detecção: Ransomware Tycoon
Apesar do fato de que novas famílias de ransomware aparecem com bastante frequência, a maioria delas está focada exclusivamente em sistemas Windows. Muito mais interessante é o Tycoon, um ransomware Java multiplataforma que pode criptografar arquivos tanto em sistemas Windows quanto Linux. Esta família tem sido observada em ambiente selvagem desde pelo menos dezembro de […]
Conteúdo de Caça a Ameaças: Campanha de Espionagem pelo Grupo Sandworm
Unidade de ciberespionagem patrocinada pelo estado russo conhecida por seus ataques destrutivos está comprometendo ativamente servidores de e-mail Exim através de uma vulnerabilidade crítica de segurança (CVE-2019-10149). No final de maio, a Agência de Segurança Nacional divulgou um Alerta de Segurança Cibernética que alertava sobre uma campanha ligada ao grupo Sandworm. O grupo é mais […]
Resumo de Regras: Emotet, Ransomware e Trojans
Olá a todos, estamos de volta com cinco novas regras enviadas esta semana pelos participantes do Programa de Recompensas de Ameaças. Você pode conferir nossos resumos anteriores aqui, e se você tiver alguma pergunta, seja bem-vindo ao chat. O malware tipo worm Pykspa pode se instalar para manter persistência, ouvir a porta de entrada para […]
Regra da Semana: Execução de Comandos em VM do Azure
Na Regra da Semana seção, apresentamos a você a Execução de Comando em VM Azure (via azureactivity) regra pela Equipe SOC Prime: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1# Adversários podem usar indevidamente a funcionalidade da VM Azure para estabelecer uma presença em um ambiente, o que pode ser usado para manter acesso e escalar privilégios. Eles podem explorar a funcionalidade […]
Conteúdo de Detecção: Himera Loader
A postagem de hoje é dedicada ao malware Himera loader que os adversários têm usado em campanhas de phishing relacionadas ao COVID-19 desde o mês passado. Os criminosos cibernéticos continuam explorando os pedidos de licença médica e familiar relacionados às pandemias em andamento do COVID-19 como isca, já que este tema já provou sua eficácia […]
Conteúdo de Caça a Ameaças: Detecção de AsyncRat
Hoje, sob a Coluna de Conteúdo de Detecção de Ameaças estamos aumentando seu interesse em Detecção de AsyncRAT (Comportamento Sysmon) regra da comunidade por Emir Erdogan. A regra possibilita a detecção do AsyncRat usando logs do Sysmon. De acordo com o autor do projeto no GitHub, o AsyncRat é uma Ferramenta de Acesso Remoto projetada […]
Conteúdo de Detecção: Malware APT38
Nós recentemente publicamos uma regra para descobrir uma das ferramentas mais recentes do notório grupo APT38 mais conhecido como Lazarus ou Hidden Cobra. E é hora de continuar publicando conteúdo para descobrir este sofisticado grupo cibercriminoso. No artigo de hoje, daremos os links para conteúdo de detecção atualizado de um dos primeiros participantes no SOC […]