SOCshare 2024 m. naujienos: vasaris
Sausio ir vasario mėnesiais NRD Cyber Security CyberSOC komanda pastebėjo, kad pagrindinių grėsmių kategorijų tipai išlieka tie patys, tačiau, palyginti su ankstesniais mėnesiais, gerokai padaugėjo perspėjimų. Tačiau incidentų, kurie buvo eskaluojami kaip potencialios grėsmės, skaičius buvo šiek tiek mažesnis. Taip atsitiko dėl padidėjusio foninio triukšmo, pavyzdžiui, žvalgybinės veiklos (pasyvaus skenavimo, aktyvaus skenavimo ir pan.) ir pirminių bandymų prisijungti (daugiausia bandymų sukčiauti).
Daugelis atvejų, kuriais dalijosi projekto partneriai, buvo susiję su pastaraisiais – bandymais apgauti. Apskritai daug įmonių buvo sukompromituotos ir (arba) apsimetusios asmenimis ir siunčia kenkėjiškus el. laiškus. Šį mėnesį pastebėjome, kad daugumoje jų yra arba nuorodų, arba priedų, iš kurių vėliau bandoma atsisiųsti kenkėjišką programinę įrangą, o kur kas mažiau bandoma apsimesti prisijungimo puslapiais ir apgaulės būdu gauti prisijungimo duomenis. Nors vien „Mokėjimo“ tema gali būti per plati, o ją naudojant aptikti gaunama per daug klaidingai teigiamų rezultatų – per ilgesnį laikotarpį pastebėjome keletą tokių įvykių, kuriuos apsaugos programinė įranga atpažino kaip skirtingų tipų kenkėjišką programinę įrangą. Tačiau derinant šią temą su papildoma taisyklių logika (bent jau tikrinant siuntėjo adreso TLD, o geriausia – tikrinant, ar anksčiau su tokiu domenu buvo bendrauta) galima sukurti gerą aptikimo taisyklę.
IOC pavyzdžiai, kuriais NRD Cyber Security ir Vilniaus miesto savivaldybės administracija pasidalijo vasario mėn.:
| Email Subject | Malware Type detected | TLD* |
| Mokejimas | Malware | MSIL/Formbook.KAH!MTB, MSIL/AgentTesla.AMCE!MTB, MSIL/SuspMsilInArcEmail.AA | .lt, .pl, .it, .gr |
| RE: RE: RE: KËRKESË PËR FATURË PROFORMA PËR PAGESËN TUAJ TË MENJHERSHME TË SOT! !! !!! | MSIL/Spynoon.DVAA!MTB | .com |
| Elektroninis Pranešimas Apie Banko Pavedimą | MSIL/Remcos.RPL!MTB | .lt |
| Quote//PO#10240003 | .com | |
| [Action Required]: Your webmail password is set to expire today | .com |
* Konkretūs domenai ir siuntėjų adresai neįtraukti. Šia informacija galės naudotis SOCshare projekto partneriai ir MISP bendruomenės nariai, kad galėtų ją aptikti ir koreliuoti. Atsižvelgiant į projekto vertybes, buvo nuspręsta, kad dalijimasis tokia informacija viešai gali padaryti daugiau žalos jau nukentėjusioms organizacijoms nei suteikti naudos visuomenei.
Projektą iš dalies finansuoja Europos Sąjunga. Išsakytos nuomonės ir požiūriai yra tik autorių ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.
Kitos naujienos
2024 metais sparčiai augome ir plėtėmės į tarptautines rinkas
Informacijos saugumas: kam patikėti įmonės duomenis?
SOCshare 2025 m. vasaris: CTI dalijimosi kultūros ugdymas Lietuvoje
SOCcare 2025 m. vasaris Malpeek: CTRL+V Malware
SOCshare 2025 m. sausio mėn: Kibernetinio saugumo padėtis. Apžvalga
SOCshare 2024 m. gruodis: kibernetinės grėsmės senjorams ir jų (pa)stebėjimas
SOCcare 2024 m. lapkritis: Ar pastebėjote... ramybę?
