Erkennungsinhalt: COVID-19-bezogener Angriff auf medizinische Lieferanten

Neue Sigma-Regel von Osman Demir hilft, COVID-19-bezogene Phishing-Angriffe auf medizinische Lieferanten zu erkennen. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/

Die Kampagne wurde Ende letzter Woche bekannt und Forscher glauben, dass sie mit 419-Betrügern in Verbindung steht, die die COVID-19-Pandemie ausnutzen, um Business E-Mail Compromise-Angriffe. Gegner senden hochgradig gezielte Phishing-E-Mails mit bösartigen MS Word-Dokumenten, in denen nach verschiedenen Materialien gefragt wird, die zur Bewältigung der COVID-19-Pandemie benötigt werden. Das Dokument nutzt die alte, aber immer noch wirksame CVE-2017-11882-Schwachstelle aus, um den Infostealer Agent Tesla zu liefern. AgentTesla ist eine modulare, .Net-basierte Malware, die Daten aus verschiedenen Anwendungen und WiFi-Anmeldeinformationenstiehlt, diese kommerzielle Malware ist eines der bevorzugten Werkzeuge von BEC-Betrügern. 

Osman Demir veröffentlichte im späten November 2019 seine ersten Inhalte, und jetzt hat er über 100 veröffentlichte Regeln, einschließlich Inhalte, die sich mit den Anfragen der Wunschliste befassen. Interview mit Osman Demir: https://socprime.com/blog/interview-with-developer-osman-demir/

Bedrohungserkennung wird für die folgenden Plattformen unterstützt:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Taktiken: Initial Access

Technik: Spearphishing-Anhang (T1193)

Andere Regeln, die mit dieser Kampagne in Verbindung stehen:

AgentTesla RAT-Erkennung Regel von Emir Erdogan – https://tdm.socprime.com/tdm/info/bwpRaR1KCq8h/2gPEG3EB61gt8vwY-DXY/

Powershell-Obfuskation durch AgentTesla Regel von Emir Erdogan – https://tdm.socprime.com/tdm/info/lZkiLjSHfmwQ/PYvnXnEB1-hfOQirOqxi/

Agent Tesla Verhalten (Sysmon- und Powershell-Erkennung) von Ariel Millahuel – https://tdm.socprime.com/tdm/info/AgFv1HqhtfgQ/J7Fa43ABqweaiPYIihcd/  

Wifi-Passwörter stehlen (unter Verwendung eines aktualisierten Agenten Tesla) von Osman Demir – https://tdm.socprime.com/tdm/info/PsBE0K0CXzlB/KCHzlnEBjwDfaYjKDxpo/

CVE-2017-11882-Ausnutzung von Florian Roth – https://tdm.socprime.com/tdm/info/KUZsK6Fq4Rzi/Bc2JDmsBohFCZEpapqaa/

Ausnutzung von CVE-2017-11882 (möglicher APT27-Angriff) von Emir Erdogan – https://tdm.socprime.com/tdm/info/243LAdCcDV9W/FMVH-W4BUORkfSQh6bqx/