В первом квартале 2025 года команда «Инновационные Технологии в Бизнесе» реализовала масштабное обновление правил корреляции для системы Security Capsule SIEM (SC SIEM). Цель — обеспечить своевременное выявление инцидентов на основе обширного пула актуальных индикаторов компрометации (IOCs).

Что нового?

Обновление охватывает более 500 уникальных IOC, сгруппированных по типовым тактикам, техникам и процедурам (TTPs) и привязанных к деятельности конкретных кибергруппировок. В результате реализовано несколько десятков новых корреляционных сценариев, покрывающих:

• Фишинг и доставку вредоносного ПО (T1566.001, T1204.002)
• Эксплуатацию легитимного ПО в злонамеренных целях (T1219)
• Удалённое управление и бэкдоры
• Подмену обновлений ПО, в том числе имитацию обновлений ViPNet и использования платформы Telegra.ph
• Атакующие действия через RDP и загрузчики/стилеры (Lumma, SnakeKeylogger, PubLoad, Bookworm, etc.)

Основные индикаторы, включённые в обновление

Домены и IP-адреса, используемые в инфраструктуре C2 и распространении ВПО:

• checkip.dyndns.org, phpsymfony.com, docu-sign.info, resumeexpert.cloud, itsmartuniverse.workers.dev
• IP-адреса: 104.21.48.1, 103.139.238.168, 123.253.32.15, 45.156.21.178, 109.107.182.11 и др.

Фишинговые URL, маскирующиеся под Google Docs, Adobe, MeshAgent и облачные платформы:

• hxxps://portfolio.cept.ac.in/..., cloud-workstation.com, my.powerfolder.com/webdav/utils/..., telegra.ph/...

Hash-суммы (SHA256/MD5/SHA1) известных вредоносных образцов, включая:

• стилеры: Lumma Stealer, SnakeKeylogger, SvcStealer
• бэкдоры: ToneShell, PhantomPyramid, Betruger, Konni RAT, ReaverDoor
• криптолокеры и MBR Killers

Профили группировок, упомянутые в материалах:

• Red Wolf, Rare Werewolf, Sticky Werewolf, Stately Taurus, Erudite Mogwai, Head Mare, APT37 и др.
• Используемые техники из MITRE ATT&CK: T1566.001, T1204.002, T1219, T1566.002, T1059.001

Ценность обновления

• Обеспечивает глубокое покрытие актуальных угроз, включая APT, фишинговые кампании, кампании по распространению стилеров и RAT.
• Повышает точность детектирования за счёт верифицированных IOC.
• Поддерживает соответствие нормативным требованиям, включая угрозы киберустойчивости КИИ, ГИС и ИСПДн
• Обеспечивает возможность автоматической атрибуции атак и аналитики по группировкам и их TTP

Что получат пользователи SC SIEM?

• Полный пакет новых правил корреляции, совместимый с актуальными версиями платформы
• Инструкции по загрузке и установке в интерфейсе SC SIEM

Если вы используете SC SIEM для защиты информационных систем категории КИИ, ИСПДн или ГИС — убедитесь, что новые правила активированы. Обновление значительно повышает уровень раннего обнаружения угроз и снижает риск скрытых компрометаций.

По вопросам, связанным с решениями ООО «Инновационные Технологии в Бизнесе»: InformSecurity@mont.ru