Sommaire
Sekoia.io XDR et Sekoia.io CTI évoluent sans cesse pour répondre aux besoins de nos utilisateurs et améliorer leur expérience. Chaque mois, nous revenons sur les nouvelles fonctionnalités afin de vous les expliquer en détail.
Bonne découverte des nouveautés du mois de septembre.
Le répertoire des Intakes de SEKOIA.IO est public !
Ce répertoire contient tous les intakes présents dans SEKOIA.IO et les parsers de l’ingest worker. Les parsers sont des éléments fondamentaux d’un processus de détection et d’analyse cyber, nous assurons et garantissons leur qualité mais nous souhaitions créer cet espace pour vous permettre de contribuer à leur développement.
Vous trouverez la procédure de contribution en bas de cette page.
20 nouvelles règles de détection dans le catalogue ! ?️
Nos analystes ont ajouté 20 nouvelles règles de détection au catalogue de règles en août dont :
- 3 nouvelles règles pour détecter les activités de Cobalt Strike.
- 2 nouvelles règles pour détecter des vulnérabilités critiques divulguées en août : ProxyShell et FortiWeb OS.
- 15 nouvelles règles pour détecter des techniques (NTFS dumping, changement ou ouverture du port RDP, désinstallation de produits de sécurité) et outils (Rclone, PowerView, ngrok) utilisés par de nombreux attaquants.
Plusieurs règles existantes ont été également mises à jour.
Des infrastructures critiques dans le viseur des ransomware
Cyber Threat Intelligence
6 nouveaux Trackers ont été intégrés pour continuer à suivre les dernières menaces cyber ! ?️
- 2 nouvelles heuristiques pour suivre l’infrastructure réseau de l’acteur APT29, attribué au gouvernement russe.
- 1 nouvelle heuristique pour suivre l’infrastructure réseau de l’acteur Sidewinder, qui cible le secteur militaire pakistanais.
- 1 nouvelle heuristique pour Phishmonger, une plateforme de phishing.
- 2 nouvelles heuristiques pour PickleC2, un outil de post-exploitation et de latéral mouvement.
Nous continuons le suivi de ces menaces avec les règles YARA pour :
- L’acteur APT28 (SkinnyBoy).
- Les ransomware LockBit et BlackMatter.
- Les malware FatalRAT, IIspy, Blacknet, etc.
Analyse du groupe de ransomware Conti
Profitez de deux billets de blog, dans lesquels nous nous concentrons sur le groupe de ransomware Conti dont le matériel de formation a récemment été divulgué sur un forum de cybercriminalité.
Pour mettre cette analyse en contexte, nous décrivons dans ce premier billet An Insider insights into Conti operations – Part One, l’évolution et le succès de Conti depuis son origine. Nous contextualisons ensuite la fuite grâce à nos observations sur les forums clandestins et l’analysons en termes de renseignement sur les menaces.
Le deuxième billet An Insider insights into Conti operation – Part Two de blog donne quelques détails sur certaines techniques utilisées par les opérateurs de Conti et sur la manière de les détecter.
Découvrez le processus d’idéation de SEKOIA.IO !
Nous avons décrit dans l’article Ideation process at SEKOIA.IO, comment nous procédons pour définir nos prochaines fonctionnalités chez SEKOIA.IO. Notre processus d’idéation nous offre un moyen pratique de recueillir les besoins, de stimuler la créativité et de sélectionner des solutions pertinentes à travers le Design Thinking.
Lisez-le pour en savoir plus sur comment nous améliorons SEKOIA.IO ! ?
Sur notre blog, vous pouvez lire aussi :
Échangez avec l’équipe
Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !