Desde o início da pandemia, as soluções de videoconferência se tornaram parte integrante do fluxo de trabalho em muitas organizações. Primeiro, o Zoom assumiu a liderança, e muitos cibercriminosos começaram imediatamente a usá-lo em campanhas de phishing, aproveitando-se do fato de que um grande número de funcionários não tinha utilizado essa tecnologia anteriormente. Logo, os […]
Acreditamos que hoje merecidamente damos o título de Regra da Semana à regra Sigma exclusiva desenvolvida por Osman Demir para habilitar a detecção do ransomware VHD: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 Os primeiros ataques usando essa cepa de ransomware começaram em março de 2020 e, somente recentemente, os pesquisadores os vincularam ao Lazarus APT. Isso foi facilitado pela detecção […]
Novamente, saímos do cronograma usual de publicações devido ao surgimento de um exploit para a vulnerabilidade crítica CVE-2020-3452 no Cisco ASA & Cisco Firepower, bem como ao surgimento de regras para detectar a exploração dessa vulnerabilidade. CVE-2020-3452 – mais uma dor de cabeça em Julho CVE-2020-3452 foi descoberta no final do ano passado, mas não […]
Hoje, “Carregamento Evasivo de DLL Possível / Bypass de AWL (via cmdline)” lançada pela equipe do SOC Prime caiu na nossa coluna “Regra da Semana“: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Como você sabe, a lista branca de aplicativos (AWL) é uma abordagem proativa que permite apenas a execução de programas pré-aprovados e especificados. Qualquer outro programa não listado é […]
Hoje na seção Regra da Semana, sugerimos prestar atenção à regra publicada por Emir Erdogan. A nova regra ajuda a detectar o ransomware Thanos, que utilizou a tática RIPlace para contornar soluções anti-ransomware: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1 O ransomware Thanos apareceu pela primeira vez no final do ano passado, e seus autores o anunciaram em fóruns subterrâneos e […]
Neste mês, pesquisadores descobriram um ataque em várias etapas conduzido por um grupo APT não definido. Durante este ataque, os adversários usaram o recurso Malleable C2 no Cobalt Strike para realizar comunicações C&C e entregar a carga final. Pesquisadores observam que os atacantes usam técnicas avançadas de evasão. Eles observaram um atraso intencional na execução […]
Mais uma vez, queremos destacar o conteúdo para detectar o malware QBot na seção Regra da Semana. Há cerca de um mês, uma regra simples, mas eficaz de Emir Erdogan já foi publicada nesta seção. Mas o Trojan de doze anos continua a evoluir, e apenas alguns dias atrás, novas amostras desse malware foram descobertas, […]
Na Regra da Semana seção, apresentamos a você a Execução de Comando em VM Azure (via azureactivity) regra pela Equipe SOC Prime: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1# Adversários podem usar indevidamente a funcionalidade da VM Azure para estabelecer uma presença em um ambiente, o que pode ser usado para manter acesso e escalar privilégios. Eles podem explorar a funcionalidade […]
O trojan bancário QakBot (também conhecido como QBot) tem sido usado em ataques a organizações há mais de 10 anos, e seus autores monitoram continuamente as tendências do cenário de ameaças, adicionando novos recursos ou removendo-os se não funcionarem corretamente. Em 2017, este malware possuía capacidades semelhantes a um verme e era capaz de bloquear […]
Esta semana queremos destacar a regra Sigma da comunidade por Emir Erdogan que ajuda a detectar o ransomware Nefilim/Nephilim usado em ataques destrutivos. Esta família de ransomware foi descoberta pela primeira vez há dois meses, e seu código é baseado no ransomware NEMTY, que surgiu no verão passado como um programa de afiliados público. Parece […]