Folgen 
Der Einsatz von Ködern im Zusammenhang mit COVID-19 wird bereits sowohl unter finanziell motivierten Gruppen als auch bei staatlich unterstützten Cyber-Spionageeinheiten als gängige Praxis wahrgenommen. Forscher veröffentlichten letzte Woche einen Bericht über eine weitere Gruppe, die COVID-19-Themen in Phishing-E-Mails seit sechs Monaten einsetzt, um ihr neues Tool zu verbreiten. Ja, wir sprechen von der chinesischen APT-Gruppe TA413, die sich auf Kampagnen zur Wirtschaftsspionage spezialisiert hat, die sich gegen gemeinnützige Forschungseinrichtungen, europäische diplomatische und gesetzgebende Körperschaften sowie internationale Organisationen im Bereich der Wirtschaftspolitik richten.
Gegner verwenden eine benutzerdefinierte Malware namens Sepulcher. Bisher ist dies die einzige Bedrohungsakteur, der sie einsetzt, aber angesichts der weit verbreiteten Praxis unter chinesischen Gruppen, ihre Werkzeuge zu teilen, könnte nach der Veröffentlichung des Berichtsdiese Malware auch im Arsenal anderer APT-Gruppen auftauchen. Sepulcher ist ein Remote-Access-Trojaner, der in der Lage ist, Aufklärungsarbeiten durchzuführen: Er kann Informationen über Laufwerke, Dateiinformationen, Verzeichnisse Statistiken, Verzeichnispfade, Verzeichnisinhalte, laufende Prozesse und Dienste erlangen. Er kann auch Verzeichnisse erstellen, Verzeichnisse und Dateien löschen, eine Shell spawnen, um Befehle auszuführen, einen Prozess beenden und mehr.
Die von Osman Demir veröffentlichte Threat-Hunting-Regel erkennt bösartige Aktivitäten von TA413 und die von der Gruppe in Cyber-Spionagekampagnen verwendete Sepulcher-Malware:
https://tdm.socprime.com/tdm/info/WE9tcCoWqy2c/NE07U3QBQAH5UgbBBk2p/?p=1
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Initialer Zugriff, Persistenz, Privilegieneskalation
Techniken: Neuer Dienst (E1050), Spearphishing-Anhang (T1193)
Bereit, um SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Programm bei um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen.
