Tag: ThreatSonar

  • IOC Opozorilo: Prepoznana Lumma Stealer C2 domena – larpfxs[.]top

    IOC Opozorilo: Prepoznana Lumma Stealer C2 domena – larpfxs[.]top

    Datum: 31. avgust 2025
    Grožnja: Lumma Stealer (aka LummaC2 / LummaC) – Windows infostealer (MaaS)
    Vrsta indikatorja: Domena (C2)
    Indikator: larpfxs[.]top
    Zanesljivost: Visoka

    Na kratko (TL;DR): Blokirajte larpfxs[.]top na ravni DNS/HTTP(S)/EDR. Preiščite zadnje razreševanje ali povezave, rotirajte poverilnice/žetone za prizadete uporabnike ter poiščite artefakte infostealerja in morebitne kasnejše naloge (follow-on payloads).

    Kaj je Lumma Stealer?

    Lumma Stealer je na Windows usmerjen malware-as-a-service (MaaS) infostealer, ki ga od leta 2022 naprej upravlja več povezanih akterjev. Specializira se za pridobivanje visoko vrednih podatkov – shranjenih poverilnic v brskalnikih, piškotkov in sejnih žetonov, podatkov iz AutoFill/kreditnih kartic, artefaktov kripto denarnic in prstnih odtisov gostitelja – ter njihovo eksfiltracijo na C2 panele pod nadzorom napadalcev.
    Pogoste dostavne poti vključujejo phishing, malvertising in lažne installerje/cracke, ki jih širijo prek TDS (traffic distribution systems) in vabnih strani (npr. fake CAPTCHA). Ker povezani akterji infrastrukturo pogosto rotirajo, naj bodo obramba in detekcije na vedenjski osnovi prednostna naloga, ob boku IoC-jem.

    Kaj se je zgodilo

    Viri groženj so označili larpfxs[.]top kot aktivno C2 infrastrukturo Lumma Stealer, z ruskojezično prijavo, značilno za Lumma C2 panele, in s svežo aktivnostjo na 31. avgust 2025.

    Zakaj je pomembno

    Kompromisi z infostealerji so pogosto prva domina v širšem vdoru: ukradene poverilnice in sejni žetoni omogočajo lateralno gibanje, prevzem SaaS računov in finančne zlorabe. Zaradi povezanega modela in hitre rotacije infrastrukture Lumma ohranja pritisk na ekipe za detekcijo in odziv – blokada ene domene ni dovolj brez širšega lova na vedenje infostealerja in naknadne beacon komunikacije.

    Povzetek indikatorja

    PoljeVrednost
    VrstaDomena
    Indikatorlarpfxs[.]top
    GrožnjaLumma Stealer C2
    Prvič viden (UTC)2025-08-31 20:26:53
    ZanesljivostVisoka
    VirSkupnostni threat intel

    Takojšnji ukrepi (najprej naredite to)

    1. Blokirajte larpfxs[.]top na DNS resolverju, varnem spletnem prehodu/proxyju ter v EDR/požarnem zidu na odjemalcih.
    2. Poiščite in zajezite vse naprave, ki so od 2025-08-24 (min. 7-dnevni pogled nazaj) razrešile ali kontaktirale to domeno.
    3. Ponastavite/rotirajte poverilnice prizadetih uporabnikov; prekličite in ponovno izdajte SSO/oblačne/SaaS žetone.
    4. Lovite artefakte infostealerja: dokazi o masovnem dostopu do podatkov brskalnika, izvoz poverilnic ter naknadni payloadi (loaderji/RAT-i).

    Vodič za detekcijo in threat hunting

    Prilagodite imena polj svoji shemi SIEM/EDR. Spodaj so izhodišča.

    1) DNS / Proxy

    Splunk (proxy/web):

    index=proxy  (dest_host="larpfxs.top" OR url="*://larpfxs.top/*")
| stats values(user) values(src_ip) values(http_user_agent) min(_time) max(_time) by dest_host

    Splunk (DNS, vklj. Sysmon Event ID 22):

    (index=dns OR source="Microsoft-Windows-Sysmon/Operational")
(query="larpfxs.top" OR QueryName="larpfxs.top")
| stats values(Computer) values(User) values(src_ip) min(_time) max(_time) by QueryName

    Elastic (ECS):

    dns.question.name : "larpfxs.top" or url.domain : "larpfxs.top"

    2) Odjemalec / EDR

    Iščite:

    • Procese, ki berejo shranjene datoteke brskalnikov: Login Data, Cookies, Web Data (Chromium/Firefox profili).
    • Neobičajne vzorce dostopa, ki jim sledi odhodni HTTPS na nepreverjene domene (vklj. larpfxs.top).
    • Tipične procesne verige infostealerjev z zlorabo LOLBIN orodij (mshta, rundll32, powershell) tik pred omrežno eksfiltracijo.

    Preventivni ukrepi

    • Egress kontrola: privzeto zavrnitev; dovolilni seznami poslovnih domen; “sink-hole” znanih zlonamernih domen.
    • Utrjevanje (hardening): obvezni upravljalniki gesel + strojni varnostni ključi; onemogočite shranjevanje gesel v brskalnikih za skrbnike.
    • Kontrola aplikacij: omejite interpreterje skript in blokirajte neznane razširitve brskalnikov.
    • E-pošta/splet: peskovnik (sandbox) za priponke; omejite prenose izvršljivih datotek iz rizičnih kategorij.
    • Telemetrija: omogočite DNS beleženje (odjemalec in resolver), proxy dnevnike, Sysmon (vklj. DNS) in hranite forenziko brskalnikov.

    Pravila Sigma (primeri)

    DNS poizvedba za larpfxs.top (Sysmon/EDR DNS)

    title: DNS Query for Lumma C2 Domain larpfxs.top
id: 0e2f1c4c-43a1-4bc1-9c18-7c4a3f1c9c21
status: experimental
logsource:
  product: windows
  service: sysmon
  category: dns_query
detection:
  selection:
    QueryName|endswith: "larpfxs.top"
  condition: selection
fields:
  - Image
  - QueryName
  - User
  - ComputerName
falsepositives:
  - Unlikely
level: high
tags:
  - attack.T1041
  - attack.T1071.001

    Spletna zahteva na larpfxs.top (proxy/ECS)

    title: Web Request to Lumma C2 Domain larpfxs.top
id: 7b7f0a3e-a8e0-4e93-bad5-9f5a26d62255
status: experimental
logsource:
  product: webserver
  category: webserver
detection:
  selection:
    http.hostname|endswith: "larpfxs.top"
  condition: selection
level: high

    Suricata (omrežni senzor)

    Ujemanje TLS SNI

    alert tls any any -> any any (
  msg:"Lumma C2 SNI: larpfxs.top";
  tls.sni; content:"larpfxs.top"; nocase;
  priority:1; classtype:trojan-activity; sid:42002501; rev:1;
)

    Forenzični in triažni kontrolni seznam

    • Plen iz brskalnika: pregled shrambe poverilnic (Chrome/Edge/Firefox), piškotkov, sejnih žetonov; pozorni bodite na masovni dostop.
    • Persistenca: preverite Run ključe, Startup mape, Scheduled Tasks in poti odlaganja v slogu %AppData%\Roaming, ki jih pogosto zlorabljajo stealerji.
    • Naknadni payloadi: povezani akterji pogosto po eksfiltraciji uvajajo loaderje/RAT-e – preglejte za sekundarne beacon-e ali implante.

    Kako si lahko pomagate s ThreatSonarjem (TeamT5)

    Kaj je ThreatSonar (na kratko): ThreatSonar je orodje za proaktivni threat hunting/compromise assessment, namenjeno hitremu odkrivanju latentnih groženj in povezovanju sledi napadalcev. Sorodni izdelek ThreatSonar Anti-Ransomware deluje kot EDR s funkcijami stalnega nadzora, vizualizacije incidentov ter izolacije končnih točk.

    1) Hiter “Compromise Assessment” po vseh endpointih

    Zaženite široki pregled (scan) čez vse končne točke in strežnike, da preverite morebitne indikatorje kompromisa in nenavadno vedenje. ThreatSonar je zasnovan za kompromisne ocene in odzive na incidente, kar MSSP/SOC ekipam omogoča hitrejše ugotavljanje “zdravja” okolja.

    2) Specifičen IOC watch za larpfxs[.]top

    V ThreatSonarju nastavite watchlist in detekcije za to domeno:

    • DNS: ujemanje poizvedb za larpfxs.top (client DNS telemetry).
    • Spletni promet: ujemanje HTTP Host / TLS SNI za larpfxs.top.
    • Časovna korelacija: povezava omrežnih dogodkov s procesi, ki dostopajo do datotek brskalnikov (npr. Login Data, Cookies, Web Data).
      V EDR modulu ThreatSonar Anti-Ransomware lahko takšno vedenje povežete v incident z vizualizacijo poti napada.

    3) Avtomatiziran odziv in zajezitev

    Za pozitivne zadetke konfigurirajte samodejne akcije:

    • Isolate endpoint (omrežna izolacija) in on-demand rescan.
    • Samodejno ustvarjanje povzetkov incidenta z mapiranjem na MITRE ATT&CK taktike/tehnike za hitrejšo triažo.
      Ti koraki skrajšajo čas odziva in zmanjšajo širjenje grožnje po notranjem omrežju.

    4) Lov na vedenjske TTP-je (onkraj ene domene)

    Poleg same domene larpfxs[.]top v ThreatSonarju lovite vedenje značilno za infostealerje: masovni dostop do shrambe brskalnikov, eksfiltracija prek HTTPS kratek čas po takih aktivnostih, ter verige LOLBIN (npr. mshta, rundll32, powershell). Detekcije naj temeljijo na kombinaciji procesnih/omrežnih sledi in naj sprožijo vizualiziran incident za nadaljnje vertikalne premike (pivot).

    5) Poročanje, ponovljivost in integracije

    Za MSSP-je: standardizirajte “intake → scan → triage → response → report” tok, da skrajšate “time-to-value” pri več strankah.

    Uporabite auto-generiran povzetek incidenta kot uradni artefakt za ticketing/IR poročila.

    Načrtujte periodične preglede poročil (tedensko/mesečno) in integracijo z vašim SIEM/SOAR za korelacije na ravni podjetja.

  • Opozorila o izkoriščanju SAP NetWeaver: CVE-2025-31324

    Opozorila o izkoriščanju SAP NetWeaver: CVE-2025-31324

    Kibernetsko obveščanje o grožnjah

    Naslednji blog zapis temelji na poročilu May H1 Vulnerability Insights Report ekipe TeamT5 Vulnerability Research Team. Za več informacij o tej ranljivosti, podrobnejše smernice za odziv ter pomoč pri zaščiti in krepitvi kibernetske varnosti vaših informacijskih sistemov nas lahko kontaktirate na info@cyber-sec.si. Naša ekipa strokovnjakov vam lahko pomaga pri izvedbi varnostnih pregledov, odkrivanju morebitnih kompromitacij, implementaciji zaščitnih ukrepov ter vzpostavitvi dolgoročne strategije za zmanjšanje kibernetskih tveganj.

    Aktivno izkoriščanje CVE-2025-31324 v SAP NetWeaver

    TeamT5 je zaznal, da je kritična ranljivost (CVE-2025-31324) v SAP NetWeaver aktivno izkoriščena s strani kitajske APT skupine Amoeba (znana tudi kot APT41). Najzgodnejši zaznani primer izkoriščanja s strani Amoeba sega v maj 2025, medtem ko javna poročila kažejo, da je bilo izkoriščanje ničelnega dne zaznano že januarja 2025. Napadalci so po uspešni zlorabi ranljivosti namestili webshell in zlonamerno programsko opremo, kot sta vshell in CobaltStrike Beacon.

    Poleg tega je nadaljnja preiskava pokazala, da je bilo prizadetih več velikih ponudnikov storitev v oblaku. Več kot 100 subjektov, vključno z Google Cloud, Microsoft Azure in Amazon Web Services, je bilo kompromitiranih z webshell-om. Žrtve so bile v Tajvanu, Južni Koreji, Kitajski, Indiji, ZDA, Španiji, Turčiji, Rusiji, Nemčiji, Gvatemali, Saint Barthélemyju in Čilu, med sektorji pa so bili izobraževanje, proizvodnja, avtomobilska industrija, reciklaža, turizem, IT, prehrana in pijača…

    Povzetek za vodstvo

    Ocenjujemo, da je resnost ranljivosti CVE-2025-31324 kritična, in pozivamo stranke, naj uporabijo to poročilo za zmanjšanje vpliva. CVE-2025-31324 je ranljivost za neavtoriziran prenos datotek v SAP NetWeaver Visual Composer Metadata Uploader. S CVSS oceno 9.8 omogoča uspešno izkoriščanje ranljivosti neavtoriziranemu napadalcu nalaganje webshell-a in namestitev zlonamerne programske opreme.

    SAP je ranljivost odpravil v varnostnem opozorilu, izdanem maja 2025. Kljub temu so bila javna poročila in Proof-of-Concept (PoC) za CVE-2025-31324 objavljena že od aprila 2025, medtem ko poročila kažejo, da se je ranljivost aktivno izkoriščala kot napad ničelnega dne že januarja 2025.

    Na podlagi preiskave in trenutnega stanja izkoriščanja CVE-2025-31324 smo v tem poročilu prikazali forenzične artefakte, v Prilogi I navedli zlonamerno programsko opremo, v Prilogi II pa kazalnike kompromitacije (IoC). Najpomembneje je, da smo pripravili obsežen nasvet za omilitev in odziv za naše stranke.

    Povzetek stanja izkoriščanja

    • Poleg APT dejavnosti je preiskava pokazala, da so bili kompromitirani tudi veliki ponudniki storitev v oblaku (Google Cloud, Microsoft Azure, AWS) z več kot 100 prizadetimi organizacijami.
    • CVE-2025-31324 izkorišča kitajska APT skupina Amoeba od maja 2025.
    • Amoeba je ranljivost uporabila v napadih proti Indiji, Nemčiji, Turčiji, Španiji, ter v sektorjih reciklaže, avtomobilske industrije in turizma.
    • Kot začetno nalogo so napadalci naložili webshell, nato pa namestili CobaltStrike Beacon in vshell.
    • C2 strežniki zlonamerne programske opreme: 43.133.196.194 in 101.32.26.154.

    Prizadeti izdelki

    • Izdelek: SAP NetWeaver (Visual Composer razvojni strežnik)
    • Verzija: VCFRAMEWORK 7.50

    Navodila za omilitev in odziv

    • Uradne informacije
    • Orodja za iskanje groženj
      • Na voljo je YARA pravilo za odkrivanje generičnega JSP webshell-a (prek orodja ThreatVision).

    Forenzični artefakti

    1. Webshell-i
      • Napadalci lahko ranljivost izkoristijo za nalaganje webshell-a v mape ./apps/sap.com/irj/root/ in ./apps/sap.com/irj/work/.
      • Pogoste datoteke: cache.jsp, shell.jsp, helper.jsp, usage.jsp, user.jsp, readme.jsp.
    2. Pregled SAP dostopnih dnevnikov
      • Lokacija dnevnikov: ./log/system/httpaccess/responses*.trc*
      • Vnos pri izkoriščanju:
        ATTACKER_IP : POST /developmentserver/metadatauploader?CONTENTTYPE=MODEL&CLIENT=1 HTTP/1.1 200
      • Vnos pri dostopu do webshell-a:
        ATTACKER_IP : GET /irj/helper.jsp?cmd=COMMAND HTTP/1.1 200

    Tabela zlonamerne programske opreme

    ImeTipOpis
    vshellRATOdprtokodni RAT z možnostjo tuneliranja, prikritih kanalov in simulacij APT taktik. Uporablja se v vajah rdeče-modrih ekip.
    CobaltStrike BeaconRATPlačljivo orodje za penetracijsko testiranje, ki ga pogosto zlorabljajo napadalci. Omogoča keylogging, prenos datotek, proxy SOCKS, eskalacijo privilegijev, uporabo Mimikatz ipd.

    Kazalniki kompromitacije (IoC)

    IP-ji:

    • 101.32.26.154
    • 43.133.196.194

    Hash-i:

    • 7ec3d703d7fa41d0f13100ea352a9afd22c0e32f3fd1b2e08a83163ddcbe56d5
    • d560a377ffdba0efe9905d2d84492b486b115f60ee9a9efea850f67106ca9f14
    • 3f5fd4b23126cb21d1007b479954af619a16b0963a51f45cc32a8611e8e845b5
    • c7b9ae61046eed01651a72afe7a31de088056f1c1430b368b1acda0b58299e28
    • 9fb57a4c6576a98003de6bf441e4306f72c83f783630286758f5b468abaa105d

  • Kitajsko-povezana APT skupina izkorišča ranljivost v Ivanti Connect Secure VPN za vdor v več organizacij

    Kitajsko-povezana APT skupina izkorišča ranljivost v Ivanti Connect Secure VPN za vdor v več organizacij

    Kibernetsko-obveščevalne grožnje

    Naslednji blog zapis temelji na poročilu ekipe TeamT5 Vulnerability Research Team. Za več informacij o tej ranljivosti, podrobnejše smernice za odziv ter pomoč pri zaščiti in krepitvi kibernetske varnosti vaših informacijskih sistemov nas lahko kontaktirate na info@cyber-sec.si. Naša ekipa strokovnjakov vam lahko pomaga pri izvedbi varnostnih pregledov, odkrivanju morebitnih kompromitacij, implementaciji zaščitnih ukrepov ter vzpostavitvi dolgoročne strategije za zmanjšanje kibernetskih tveganj.

    V poznem marcu je bilo zaznano, da je kitajsko-povezana APT skupina izkoristila kritično ranljivost v napravah Ivanti Connect Secure VPN za vdor v več organizacij po vsem svetu. Med žrtvami je skoraj dvajset različnih industrij v dvanajstih državah. Menimo, da je napadalec v času analize še vedno ohranjal nadzor nad omrežji žrtev.

    Žrtve

    Med prizadetimi državami so Avstrija, Hrvaška, Avstralija, Francija, Španija, Japonska, Južna Koreja, Nizozemska, Singapur, Tajvan, Združeni arabski emirati, Združeno kraljestvo in Združene države Amerike. Targetirane industrije vključujejo avtomobilsko industrijo, kemijsko industrijo, skupine podjetij, gradbeništvo, informacijsko varnost, izobraževanje, elektroniko, finančne institucije, igralništvo, vlado, medvladne organizacije (IGO), informacijsko tehnologijo, odvetniške pisarne, proizvodnjo, materiale, medije, nevladne organizacije (NVO), raziskovalne inštitute ter telekomunikacije.

    Podrobnosti grožnje

    Analiza z visoko stopnjo zaupanja ocenjuje, da je napadalec izkoriščal ranljivosti v napravah Ivanti Connect Secure VPN za izvajanje napadov po vsem svetu. Verjetno je izkoristil ranljivosti CVE-2025-0282 ali CVE-2025-22457 za pridobitev začetnega dostopa.

    Tako CVE-2025-0282 kot CVE-2025-22457 sta ranljivosti tipa “stack buffer overflow” v Ivanti Connect Secure VPN z oceno CVSS 9,0. Uspešno izkoriščanje omogoča napadalcu oddaljeno izvajanje kode, kar vodi v vdor v notranje omrežje in namestitev zlonamerne programske opreme.

    V napadu je napadalec uporabil skupno orožje, ki ga uporabljajo kitajske grožbene skupine, imenovano SPAWNCHIMERA. SPAWNCHIMERA je razvit posebej za Ivanti Connect Secure VPN in vsebuje vse funkcionalnosti razvpite družine SPAWN, vključno z:

    • SPAWNANT (namestitveni program),
    • SPAWNMOLE (SOCKS5 tuneler),
    • SPAWNSNAIL (SSH stranska vrata),
    • SPAWNSLOTH (brisalec dnevnikov).

    Poleg tega še nakazuje, da bi lahko tudi drugi napadalci pridobili informacije o ranljivosti in začeli lastne kampanje proti napravam Ivanti VPN. Od aprila opažamo množične poskuse izkoriščanja naprav Ivanti VPN. Čeprav je večina poskusov spodletela, je veliko naprav Ivanti VPN postalo neodzivnih in nestabilnih.

    Močno priporočamo, da prizadete organizacije izvedejo temeljito preiskavo incidenta. Glede na raznolike TTP-je napadalca, kot so večplastna C2 infrastruktura, izogibanje mehanizmom nadzora in uporaba brisalcev dnevnikov, bo brez dodatne tehnične podpore izziv zaznati zlonamerne sledi napadalca v omrežju.

  • Kako vam ThreatSonar olajša pot do skladnosti z NIS2

    Kako vam ThreatSonar olajša pot do skladnosti z NIS2

    Uvajanje NIS 2 se neizbežno bliža

    Napovedana uveljavitev ZInfV-1, slovenskega zakona, ki v naš pravni red prenaša direktivo NIS 2, je podjetjem postavila jasen cilj: v rekordnem času vzpostaviti celovit, 24/7 nadzor nad kibernetskimi tveganji in zagotoviti forenzično sledljivost vsakega incidenta. V poplavi rešitev se zdi izbira prave platforme za varnostno operativno središče (SOC) zahtevna – a letos je odgovor močno olajšala komisija sejmov kot sta Computex in CyberSec EXPO, ki sta ThreatSonar nagradila z nazivom »Best Choice Award 2025« v kategoriji naprednega EDR/MDR.

    Zakaj je ThreatSonar prepričal strogo mednarodno žirijo in postal zlati standard za skladnost z ZInfV-1 ter NIS 2? V nadaljevanju razkrivamo, kako njegova vedenjska analitika, avtomatizirana forenzika in zaščita pred izsiljevalsko programsko opremo omogočajo, da slovenska podjetja obvladajo nove zakonske zahteve – brez drastičnega povečanja kadrov in stroškov.

    Katere zahteve zakon nalaga podjetjem?

    Ključna zahteva ZInfV-1 / NIS 2Kaj konkretno pomeni v praksi
    Celovito upravljanje tveganjEvidenca sredstev, ocenjevanje ranljivosti, spremljanje dobaviteljev.
    24-urna prijava varnostnih incidentovZanesljiva detekcija, časovnica dogodka in takojšna eskalacija CSIRT-u.
    Redne preverbe in revizijePeriodično skeniranje in dokazila za nadzorni organ (URSIV).
    Forenzična sledljivost in hranjenje dnevnikovRekonstrukcija dogodka, hram­ba artefaktov, poročila o osnovnem vzroku.
    Dokaz o neprekinjenem nadzoru24/7 spremljanje končnih točk in jedrnih sistemov.

    Zakaj je ThreatSonar logična izbira za novo zakonodajo

    Zakonodajna zahtevaFunkcionalnost ThreatSonarja, ki jo pokrije
    Upravljanje ranljivosti & dobavne verigeSignal Pattern prepozna neznane grožnje, ThreatTr­acer stalno pregleduje sisteme in odvisnosti.
    24/7 detekcija & opozarjanjeDaemon EDR agent spremlja procese v realnem času, blokira RaaS, APT in WebShell napade.
    Hitra forenzika & poročanjeSmart Forensics avtomatsko zbere RAM, registre, EventLoge in izdela auto-generated poročila – priprav­ljena za CSIRT.
    Izolacija in omejevanje škodeFunkcija Protect Plus takoj uniči sejo napadalca, izolira končno točko in zaščiti VSS varnostne kopije.
    Dokazi za nadzorni organVizualna časovnica incidenta in MITRE ATT&CK oznake dokazujejo skladnost revizorjem URSIV.

    1. Celovita zaščita pred izsiljevalsko programsko opremo

    ThreatSonar z vedenjskim zaznavanjem prepozna > 90 % neznanih variant, postavi »trap« datoteke in v realnem času ubije procese, preden se zažene šifriranje.

    2. Forenzična avtomatika skrajša odzivni čas

    Auto-Investigation samodejno nariše topologijo širjenja po omrežju in poveže artefakte z zunanjimi IoC-ji (YARA, hash, IP). Poročilo je pripravljeno v 1-5 dneh (namesto tednov ročnega dela).

    3. Prilagodljiva namestitev: on-prem, oblak ali povsem offline

    Lahka »on-demand« izvedba za enkratne preglede, Daemon za stalni nadzor, Offline Scanner za izolirana omrežja – vse tri načine je mogoče uvoziti v isti nadzorni portal.

    4. Intelligence-driven lov na grožnje

    ThreatSonarova ekipa analitikov vsak teden posodobi nabor pravil s svežimi APT taktikami iz regije APAC (in drugod), kar pokrije tudi zahtevo ZInfV-1 po spremljanju aktualnih groženj.

    Kako začeti

    1. Ocena vrzeli – preverite, katere obveznosti ZInfV-1 že izpolnjujete.
    2. Pilotna namestitev ThreatSonarja – v 60 minutah pokrijete > 1 000 končnih točk in dobite prvo forenzično sliko.
    3. Integracija s procesi CSIRT/SOC – avtomatizirajte eskalacijo in poročanje.
    4. Dokumentacija skladnosti – izvozite poročila za nadzorni organ in notranji revizijski odbor.

    Zaključek

    ZInfV-1 in NIS 2 dvigujeta letvico kibernetske odpornosti v Sloveniji. ThreatSonar vam omogoča, da te zahteve izpolnite hitro, stroškovno učinkovito in z minimalnim kadrovskim vložkom – od 24/7 detekcije do forenzičnega poročanja, ki ga organi priznavajo kot dokaz o skladnosti.

    Potrebujete več informacij ali demo? 
Kontaktirajte našo ekipo CYBER-SEC in preverite, kako lahko ThreatSonar v nekaj urah zapre vaše največje varnostne vrzeli.

    Pošlji povpraševanje

  • ThreatSonar EDR – Napredno orodje za lovljenje groženj in analizo incidentov

    ThreatSonar EDR – Napredno orodje za lovljenje groženj in analizo incidentov

    ThreatSonar EDR – Napredno orodje za lovljenje groženj in analizo incidentov

    ThreatSonar EDR, ki ga razvija priznano podjetje TeamT5, je napredno orodje za odkrivanje in odzivanje na grožnje (Endpoint Detection & Response), zasnovano za hitro zaznavanje in analizo varnostnih incidentov. Z napredno analitiko povezuje posamezne indikatorje kompromitacije in z visoko natančnostjo identificira vsiljivce v že ogroženem okolju.

    Ključne prednosti ThreatSonar EDR

    1. Avtomatizirano lovljenje groženj

    ThreatSonar omogoča avtomatizirano iskanje groženj (threat hunting) in analizo incidentov, s čimer pomaga varnostnim ekipam pri hitrem odkrivanju in odzivanju na varnostne incidente.

    2. Inteligentna forenzika

    Orodje vključuje tisoče vnaprej določenih indikatorjev kompromitacije (IoC) in omogoča uvoz zunanjih podatkov, kot so hash vrednosti, IP naslovi, domene, Yara pravila in drugi IoC-ji, kar omogoča natančno identifikacijo in odziv na ciljno usmerjene grožnje.

    3. Vizualizacija napadov

    ThreatSonar omogoča vizualizacijo poti napada, kar analitikom omogoča lažje razumevanje vedenja napadalca, hitro prepoznavanje incidentov in učinkovito izvajanje ukrepov za ublažitev posledic.

    4. Napredna analiza vedenja

    Orodje uporablja napredne tehnike analize vedenja in strojnega učenja za identifikacijo sofisticiranih groženj, ki jih tradicionalna protivirusna programska oprema morda ne zazna.

    5. Podrobna poročila in forenzika

    ThreatSonar omogoča podrobno analizo incidentov in forenzične preiskave, kar pomaga razumeti, kako je prišlo do vdora, in preprečiti prihodnje incidente.

    Zakaj izbrati ThreatSonar EDR?

    1. Preverjena učinkovitost: Orodje je uspešno zaznalo več kot 1.000 napadov APT, ki jih druge rešitve niso uspele odkriti.
    2. Široka uporaba: ThreatSonar je bil implementiran na več kot 3 milijonih končnih točk in ga uporablja več kot 300 podjetij in organizacij po vsem svetu.
    3. Enostavna integracija: Orodje se enostavno integrira z obstoječimi varnostnimi sistemi in omogoča hitro implementacijo brez obsežnih prilagoditev.

    Idealno za:

    • Podjetja in organizacije, ki želijo izboljšati svojo varnostno infrastrukturo in se učinkovito odzivati na napredne grožnje.
    • Varnostne ekipe, ki potrebujejo orodje za hitro zaznavanje, analizo in odzivanje na varnostne incidente.
    • Organizacije, ki iščejo rešitev za proaktivno lovljenje groženj in izboljšanje svoje varnostne drže.

    Kako deluje platforma ThreatSonar za forenzično analizo groženj?

    Zbiranje in analiza podatkov

    Data Collection and Analysis

    Napredna tehnologija za lovljenje groženj zazna sumljive programe in dejavnosti datotek na končnih točkah ter odkrije morebitne grožnje.

    Forenzika, podprta z obveščevalnimi podatki

    Intelligence-driven Forensics

    Vgrajene tisoče podpisov APT zadnjih vrat (backdoor) zagotavljajo najnovejše obveščevalne podatkevsaki končni točki za izvedbo forenzične analize groženj.
    Omogoča tudi uvoz zunanjih obveščevalnih podatkov, kot so hash vrednosti, IP naslovi, domene, Yara pravila in drugi indikatorji kompromitacije (IoC), za natančno obrambo pred ciljno usmerjenimi grožnjami.

    Analiza osnovnih vzrokov

    Root Causes Analysis

    Ugotovi, kako je prišlo do incidenta, in identificira prisotne grožnje.

    Forenzična poročila

    Forensics Reports

    Vključujejo identificirane grožnje in njihove osnovne vzroke. Vsa dejanja in odločitve, sprejete med postopkom ocene, so dokumentirane za nadaljnjo uporabo.

    Vodilne funkcionalnosti v industriji

    Omogoča forenziko pomnilnika in analizo vedenja za učinkovito prepoznavanje neznanih zlonamernih programov

    Ocena kompromitacije ponuja celovit vpogled v incident in skrajša čas preiskave

    Aktivno lovljenje groženj z vizualizacijo povezav med potencialno kompromitiranimi končnimi točkami

    Želite izvedeti več?

    Za predstavitev ali dodatna vprašanja nas kontaktirajte – z veseljem vam bomo pomagali pri izboljšanju vaše varnostne infrastrukture.

    Pošlji povpraševanje