В первом квартале 2025 года команда «Инновационные Технологии в Бизнесе» провела крупное обновление правил корреляции в системе Security Capsule SIEM (SC SIEM). Цель — повысить эффективность обнаружения инцидентов за счёт актуальных индикаторов компрометации (IOC).
Что изменилось?
В обновлении — более 500 уникальных IOC, сгруппированных по тактикам, техникам и процедурам (TTP) и связанным с деятельностью известных кибергруппировок. На основе этих данных реализованы десятки новых корреляционных сценариев. Среди них:
- фишинг и доставка вредоносных файлов (T1566.001, T1204.002);
- использование легитимного ПО в злонамеренных целях (T1219);
- удалённое управление, бэкдоры;
- подмена обновлений, в том числе имитация ViPNet и Telegra.ph;
- атаки через RDP и распространение стилеров и загрузчиков (например, Lumma, SnakeKeylogger, PubLoad, Bookworm).
Что включено в IOC?
- Домены и IP-адреса, связанные с C2-инфраструктурой и вредоносной активностью:
checkip.dyndns.org
,phpsymfony.com
,resumeexpert.cloud
,104.21.48.1
,123.253.32.15
и др. - Фишинговые URL, маскирующиеся под Google Docs, Adobe, облачные сервисы:
cloud-workstation.com
,telegra.ph/...
,my.powerfolder.com/...
- хеш-суммы вредоносных файлов (SHA256/MD5/SHA1):
стилеры (Lumma, SnakeKeylogger), бэкдоры (ToneShell, PhantomPyramid, Konni RAT), криптолокеры, MBR Killers - Профили группировок, упомянутые в отчётах:
Red Wolf, Rare Werewolf, Sticky Werewolf, APT37, Head Mare и др. - Техники по MITRE ATT&CK:
T1566.001, T1204.002, T1219, T1566.002, T1059.001
Что это даёт?
Обновление охватывает широкий спектр текущих угроз, включая APT-кампании, фишинг и распространение шпионского ПО. Правила корреляции помогают лучше связывать активность с определёнными группировками и их поведенческими шаблонами (TTP). Это позволяет быстрее реагировать на инциденты и проводить базовую атрибуцию атак.
Для пользователей SC SIEM
Пакет новых правил доступен для загрузки через интерфейс SC SIEM и совместим с актуальными версиями платформы.
Если вы используете SC SIEM для защиты КИИ, ИСПДн или ГИС — стоит убедиться, что обновление установлено: оно усиливает возможности по раннему выявлению угроз.