IOC Sigma: Aktivitäten der GreenBug APT-Gruppe

[post-views]
Mai 26, 2020 · 2 min zu lesen
IOC Sigma: Aktivitäten der GreenBug APT-Gruppe

Greenbug APT ist eine iranische Cyber-Spionage-Einheit, die seit mindestens Juni 2016 aktiv ist. Die Gruppe nutzt höchstwahrscheinlich Spear-Phishing-Angriffe, um zielgerichtete Organisationen zu kompromittieren. Gegner nutzen mehrere Werkzeuge, um nach einer ersten Kompromittierung andere Systeme im Netzwerk zu kompromittieren und Benutzernamen und Passwörter von Betriebssystemen, E-Mail-Konten und Webbrowsern zu stehlen. Im Jahr 2017 wurden die von der Greenbug-Gruppe gesammelten Zugangsdaten bei Angriffen einer anderen iranischen APT-Gruppe verwendet, die destruktive Shamoon-Wiper-Malware.

Ihre neue Kampagne begann im April 2019 und dauerte über ein Jahr, wobei Telekommunikationsunternehmen in Südasien ins Visier genommen wurden. Greenbug verwendet handelsübliche und geplante Tools, offenbar ist die Gruppe daran interessiert, Zugang zu Datenbankservern zu erhalten: Gegner stehlen Anmeldedaten und nutzen sie dann, um die Konnektivität zu diesen Servern zu testen. Ihr Fokus auf das Stehlen von Anmeldedaten und das Herstellen von Verbindungen zu Datenbankservern zeigt, dass die Gruppe darauf abzielt, hochrangigen Zugang zu einem Netzwerk eines Opfers zu erlangen – ein Zugang, der, wenn er ausgenutzt wird, sehr schnell Chaos in einem kompromittierten Netzwerk verursachen könnte. Dieses Zugriffslevel könnte, wenn es von Akteuren mit störender Malware oder Ransomware genutzt wird, das gesamte Netzwerk einer Organisation sehr schnell lahmlegen.  

Die neue Regel von Emir Erdogan veröffentlicht im Threat Detection Marketplace hilft, Greenbug-APT-Aktivitäten zu erkennen und deren Versuche, zusätzliche Werkzeuge zu installieren: https://tdm.socprime.com/tdm/info/ZBEGEjbgCbwS/DYyQS3IB1-hfOQirPFQ4/?p=1



Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: CrowdStrike, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Ausführung, Persistenz, Privilegieneskalation,

Techniken: PowerShell (T1086), PowerShell-Profil (T1504), Geplanter Task (T1053), Web-Shell (T1100)

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

SOC Prime Threat Bounty Digest — Ergebnisse September 2024
Blog, SOC Prime Plattform — 4 min zu lesen
SOC Prime Threat Bounty Digest — Ergebnisse September 2024
Alla Yurchenko
SOC Prime Threat Bounty Digest – Juni 2024 Ergebnisse
Blog, SOC Prime Plattform — 4 min zu lesen
SOC Prime Threat Bounty Digest – Juni 2024 Ergebnisse
Alla Yurchenko
Lazarus Group Resurfaces, Exploiting Log4j Vulnerability and Spreading MagicRAT
Blog, Neueste Bedrohungen — 3 min zu lesen
Lazarus Group Resurfaces, Exploiting Log4j Vulnerability and Spreading MagicRAT
Anastasiia Yevdokimova