Regole per il Threat Hunting: Golden Chickens MaaS

[post-views]
Luglio 28, 2020 · 2 min di lettura
Regole per il Threat Hunting: Golden Chickens MaaS

Come sapete, il Malware-as-a-Service (MaaS) è un business che è giĂ  diventato comune e opera sui forum clandestini e mercati neri offrendo una gamma di servizi. I primi attacchi che utilizzavano il MaaS di Golden Chickens sono iniziati nel 2017, e il gruppo Cobalt è stato tra i loro primi “clienti”. Il successo di questo progetto si basa fortemente su strumenti e servizi specifici, che forniscono ai clienti il malware e l’infrastruttura di cui hanno bisogno per attacchi mirati. 

Questa primavera, gli autori di malware hanno nuovamente migliorato TerraLoader, VenomLNK e more_eggs, e diversi attori di minacce hanno giĂ  sfruttato la funzionalitĂ  aggiornata. TerraLoader è un caricatore multiuso scritto in PureBasic, la sua nuova variante utilizza diversi metodi di de/offuscamento delle stringhe, implementazione di forza bruta e tecniche anti-analisi. VenomLNK è un file di scorciatoia di Windows probabilmente generato da una versione piĂą recente del kit di costruzione VenomKit. Ora utilizza un nuovo numero seriale del volume, uno schema di esecuzione evoluto, e solo il percorso locale al prompt dei comandi di Windows. E il backdoor more_eggs ora include un ritardo minimo prima di eseguire o riprovare un’azione, e pulisce la memoria dopo l’uso.

Nuova minaccia della comunitĂ  Sigma di Osman Demir aiuta a rilevare gli strumenti aggiornati che fanno parte del MaaS di Golden Chickens: https://tdm.socprime.com/tdm/info/9qsYmDO3UnAK/8tPCj3MBQAH5UgbBiEhf/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Esecuzione, Elusione della Difesa, Persistenza, Escalation dei Privilegi

Tecniche: Regsvr32 (T1117), Task Schedulato (T1053), Esecuzione Utente (T1204)

 

Pronto a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunitĂ  TDM.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilitĂ  sulle minacce piĂą rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Confluent Sigma: Guida alla Soluzione Open-Source per gli Ingegneri della Rilevazione 14 min di lettura Sigma Confluent Sigma: Guida alla Soluzione Open-Source per gli Ingegneri della Rilevazione by Daryna Olyniychuk Accedi alla FunzionalitĂ  di Uncoder AI tramite API 2 min di lettura Piattaforma SOC Prime Accedi alla FunzionalitĂ  di Uncoder AI tramite API by Steven Edwards Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI 2 min di lettura Piattaforma SOC Prime Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI by Steven Edwards
Tutte le notizie