Поделиться
SC SIEM Q1-обновление: сотни индикаторов атак — фишинг, стилеры, бэкдоры
В I квартале 2025 г. команда «Инновационные Технологии в Бизнесе» реализовала обновление правил корреляции для системы Security Capsule SIEM (SC SIEM). Цель — обеспечить своевременное выявление инцидентов на основе обширного пула актуальных индикаторов компрометации (IOCs). Об этом CNews сообщили представители компании «Инновационные Технологии в Бизнесе».
Что нового
Обновление охватывает более 500 уникальных IOC, сгруппированных по типовым тактикам, техникам и процедурам (TTPs) и привязанных к деятельности конкретных кибергруппировок. В результате реализовано несколько десятков новых корреляционных сценариев, покрывающих: фишинг и доставку вредоносного ПО (T1566.001, T1204.002); эксплуатацию легитимного ПО в злонамеренных целях (T1219); удаленное управление и бэкдоры; подмену обновлений ПО, в том числе имитацию обновлений ViPNet и использования платформы Telegra.ph; атакующие действия через RDP и загрузчики/стилеры (Lumma, SnakeKeylogger, PubLoad, Bookworm и пр.).
Основные индикаторы, включенные в обновление
Домены и IP-адреса, используемые в инфраструктуре C2 и распространении ВПО: checkip.dyndns.org, phpsymfony.com, docu-sign.info, resumeexpert.cloud, itsmartuniverse.workers.dev.
IP-адреса: 104.21.48.1, 103.139.238.168, 123.253.32.15, 45.156.21.178, 109.107.182.11 и др.
Фишинговые URL, маскирующиеся под Google Docs, Adobe, MeshAgent и облачные платформы: portfolio.cept.ac.in/..., cloud-workstation.com, my.powerfolder.com/webdav/utils/..., telegra.ph/...
Hash-суммы (SHA256/MD5/SHA1) известных вредоносных образцов, включая: стилеры – Lumma Stealer, SnakeKeylogger, SvcStealer; бэкдоры – ToneShell, PhantomPyramid, Betruger, Konni RAT, ReaverDoor; криптолокеры и MBR Killers.
Профили группировок, упомянутые в материалах: Red Wolf, Rare Werewolf, Sticky Werewolf, Stately Taurus, Erudite Mogwai, Head Mare, APT37 и др.
Используемые техники из MITRE ATT&CK: T1566.001, T1204.002, T1219, T1566.002, T1059.001.
Ценность обновления
Обеспечивает глубокое покрытие актуальных угроз, включая APT, фишинговые кампании, кампании по распространению стилеров и RAT. Повышает точность детектирования за счет верифицированных IOC. Поддерживает соответствие нормативным требованиям, включая угрозы киберустойчивости КИИ, ГИС и ИСПДн. Обеспечивает возможность автоматической атрибуции атак и аналитики по группировкам и их TTP.
Что получат пользователи SC SIEM
Полный пакет новых правил корреляции, совместимый с актуальными версиями платформы. Инструкции по загрузке и установке в интерфейсе SC SIEM.
Короткая ссылка
