Centralisation d’alertes d’EDR, nouvelles détections et trackers… les nouveautés de nov. 2021

4 Nov, 2021

SEKOIA.IO XDR a pour objectif d’être au plus près des utilisateurs de la plateforme, en répondant à leurs besoins de manière précise, tout en prenant en compte leur approche et expérience utilisateur.

Dans cette dynamique, la plateforme ne cesse de se réinventer et d’évoluer en intégrant régulièrement de nouvelles fonctionnalités tout en améliorant les fonctionnalités existantes.

Nouvelles règles de Détection

12 nouvelles règles de détection ajoutées au catalogue !

Ces règles se focalisent sur la détection des dernières vulnérabilités comme Apache (CVE_2021-41773), ou encore des Malwares les plus récents comme :

– MirrorBlast qui est associé non exclusivement au groupe cyber criminel TA505.

– SquirrelWaffle qui devient le successeur d’Emotet, considéré comme la menace n°1 utilisée pour télécharger d’autres malwares comme QakBot ou Cobalt Strike.

Nouvelles règles EDR

Des règles EDR ont également été ajoutées pour centraliser et contextualiser les alertes issues d’HarfangLab EDR dans SEKOIA.IO XDR dans le cadre de l’Open XDR Platform.

HarfangLab, est éditeur d’un logiciel EDR (Endpoint Detection and Response), une technologie qui permet d’anticiper et neutraliser les cyberattaques modernes et inconnues, sur ordinateurs et serveurs. Certifié par l’ANSSI depuis 2020, HarfangLab compte parmi ses clients de grandes entreprises d’envergure internationale, évoluant dans des secteurs très sensibles.

Pour rappel, à l’occasion des Assises de la Cybersécurité à Monaco en octobre dernier, SEKOIA, HarfangLab, Pradeo, GLIMPS, Vade, annoncaient la création de l’Open XDR Platform. Objectif : fédérer des expertises en cybersécurité au sein d’une solution unifiée, pour simplifier le déploiement et renforcer la cyberdéfense des organisations.

Des infrastructures critiques dans le viseur des ransomware

Suivi des menaces

7 nouveaux trackers

Ces trackers permettent entre autre de suivre l’infrastructure de Command & Control (C2) des menaces suivantes :

  • ManaTools

ManaTools est un outil permettant de distribuer des malware et de les contrôler via un panneau de Command & Control (C2). Il a déjà été associé avec plusieurs logiciels malveillants, tels que RevengeRat, AzoRult, Lokibot, Formbook et AgentTesla.

  • FinFisher

FinFisher est un spyware vendu exclusivement aux gouvernements et aux agences de renseignements et utilisé dans le cadre d’investigations criminelles.

  • BazarLoader

BazarLoader est un malware très répandu qui permet aux attaquants de pénétrer l’environnement de la victime. L’accès au système compromis par BazarLoader est souvent revendu aux gangs de ransomware

  • TodayZoo

TodayZoo est un kit de phishing utilisé depuis Décembre 2020 et nouvellement documenté par Microsoft.

Honeypots

Nous avons pu observer et enrichir notre base d’Observables et de Cyber Threat Intelligence avec du renseignement issu de la mise en place de plusieurs honeypots exposant des services Apache vulnérables aux CVE-2021-41773 et CVE-2021-42013.

Pour partager notre analyse des modes opératoires des attaquants exploitant ces différentes vulnérabilités, les analystes SEKOIA.IO ont produit et publié un nouveau FLINT à ce sujet !

Chat with our team!

Would you like to know more about our solutions? Do you want to discover our XDR and CTI products? Do you have a cyber security project in your organization? Make an appointment and meet us!

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !