Tema
Grupos y tácticas
27 de septiembre de 2024
Apostar a los bots: investigar el malware de Linux, la criptominería y el abuso de las API de juegos de azar
La campaña REF6138 incluía criptominería, ataques DDoS y posible blanqueo de dinero a través de API de juegos de azar, lo que pone de relieve el uso por parte de los atacantes de malware en evolución y canales de comunicación sigilosos.
Código de conducta: intrusiones impulsadas por Python de la RPDC en redes seguras
Con la investigación del uso estratégico de Python por parte de la RPDC y la ingeniería social cuidadosamente diseñada, esta publicación arroja luz sobre cómo se violan redes altamente seguras con ataques cibernéticos efectivos y en evolución.
GrimResource - Consola de administración de Microsoft para acceso inicial y evasión
Los investigadores de Elastic descubrieron una nueva técnica, GrimResource, que permite la ejecución completa de código a través de archivos MSC especialmente diseñados. Suelta una tendencia de atacantes bien dotados de recursos que favorecen métodos innovadores de acceso inicial para evadir las defensas.
Mineros invisibles: revelar las operaciones de criptominería de GHOSTENGINE
Elastic Security Labs ha identificado REF4578, un conjunto de intrusión que incorpora varios módulos maliciosos y aprovecha los controladores vulnerables para desactivar soluciones de seguridad conocidas (EDRs) para la criptominería.
Hundimiento de barcos piratas de macOS con detecciones de comportamiento elástico
Esta investigación analiza una campaña de malware para macOS descubierta recientemente que emplea el marco de seguridad de puntos finales de macOS emparejado con Elastic Agent para buscar y detectar los comportamientos que exhibe este malware.
Desenmascarar una intrusión en los servicios financieros: REF0657
Elastic Security Labs detalla una intrusión que aprovecha las herramientas de código abierto y diferentes técnicas posteriores a la explotación dirigidas a la industria de servicios financieros en el sur de Asia.
El elástico atrapa a la RPDC y desmaya a KANDYKORN
Elastic Security Labs expone un intento de la RPDC de infectar a los ingenieros de blockchain con el nuevo malware de macOS.
GHOSTPULSE persigue a las víctimas usando la bolsa de trucos de evasión de defensa
Elastic Security Labs revela detalles de una nueva campaña que aprovecha las capacidades de evasión de defensa para infectar a las víctimas con ejecutables MSIX maliciosos.
La RPDC ataca con una nueva variante de RUSTBUCKET
¡Cuidado! Recientemente descubrimos una variante de RUSTBUCKET. Lea este artículo para comprender las nuevas capacidades que observamos, así como para identificar en su propia red.
Investigación inicial que expone a JOKERSPY
Explora JOKERSPY, una campaña recientemente descubierta que se dirige a instituciones financieras con puertas traseras de Python. En este artículo, se habla del reconocimiento, los patrones de ataque y los métodos para identificar JOKERSPY en tu red.
La cadena de ataque conduce a XWORM y AGENTTESLA
Nuestro equipo observó recientemente una nueva campaña de malware que emplea un proceso bien desarrollado con múltiples etapas. La campaña está diseñada para engañar a los usuarios desprevenidos para que hagan clic en los documentos, que parecen ser legítimos.
REF2924: cómo mantener la persistencia como un (¿avanzado?) amenaza
Elastic Security Labs describe las nuevas técnicas de persistencia empleadas por el grupo detrás de SIESTAGRAPH, NAPLISTENER y SOMNIRECORD.
Actualización del conjunto de intrusiones REF2924 y campañas relacionadas
Elastic Security Labs proporciona una actualización de la investigación REF2924 publicada en diciembre de 2022. Esta actualización incluye análisis de malware de los implantes, hallazgos adicionales y asociaciones con otras intrusiones.
SiestaGraph: Nuevo implante descubierto en el Ministerio de Relaciones Exteriores afiliada a la ASEAN
Elastic Security Labs está rastreando a varios actores de amenazas en la red que aprovechan los exploits de Exchange, los shells sitio web y el implante SiestaGraph recién descubierto para lograr y mantener el acceso, escalar privilegios y exfiltrar datos específicos.
Explorando el conjunto de intrusiones REF2731
El equipo de Elastic Security Labs estuvo rastreando REF2731, un conjunto de intrusiones de 5 etapas que involucra al cargador PARALLAX y al NETWIRE RAT.
Haciendo tiempo con el cuentagotas YIPPHB
Elastic Security Labs describe los pasos, recopila y analiza las diversas etapas del conjunto de REF4526 intrusión. Este conjunto de intrusiones usa un enfoque creativo de iconos Unicode en scripts de Powershell para instalar un cargador, un cuentagotas e implantes RAT.
La infraestructura de red de ICEDID está viva y coleando
Elastic Security Labs detalla el uso de la recopilación de datos de código abierto y el Elastic Stack para analizar la infraestructura C2 de la botnet ICEDID.
Análisis del patrón de ataque de LUNA Ransomware
En esta publicación de investigación, exploraremos el patrón de ataque LUNA, una variante de ransomware multiplataforma.
Explorando el patrón de ataque QBOT
En esta publicación de investigación, exploraremos nuestro análisis del patrón de ataque QBOT, una familia de malware prolífica y con todas las funciones.
Elastic Security descubre una campaña de malware BLISTER
Elastic Security identificó intrusiones activas que aprovechan el cargador de malware BLISTER recientemente identificado que emplea certificados de firma de código válidos para evadir la detección. Proporcionamos orientación de detección para que los equipos de seguridad se protejan.
Un vistazo detrás del BPFDoor
En este artículo de investigación, exploramos BPFDoor, una carga útil de puerta trasera diseñada específicamente para Linux con el fin de obtener el reingreso a un entorno objetivo comprometido previa o activamente.
Oficio adversario 101: A la caza de la persistencia con Elastic Security (Parte 2)
Descubre cómo se pueden usar Elastic Endpoint Security y Elastic SIEM para buscar y detectar técnicas de persistencia maliciosas a escala.
Jugando a la defensiva contra Gamaredon Group
Conozca la reciente campaña de un grupo de amenazas con sede en Rusia conocido como Grupo Gamaredon. Esta publicación revisará estos detalles y proporcionará estrategias de detección.
Okta y LAPSUS$: Lo que necesitas saber
La última organización bajo la lupa del grupo LAPSUS$ es Okta. Búsqueda de amenazas para la brecha reciente dirigida a los usuarios de Okta mediante estos sencillos pasos en Elastic
Recolectar balizas de Strike de cobalto con el Elastic Stack
Parte 1 - Procesos y tecnología necesarios para extraer las balizas de implante Cobalt Strike
Oficio adversario 101: A la caza de la persistencia con Elastic Security (Parte 1)
Descubre cómo se pueden usar Elastic Endpoint Security y Elastic SIEM para buscar y detectar técnicas de persistencia maliciosas a escala.