IOC Sigma: Aktivitäten der GreenBug APT-Gruppe

Neueste Bedrohungen

Mai 26, 2020

2 min zu lesen

IOC Sigma: Aktivitäten der GreenBug APT-Gruppe

Eugene Tkachenko
Eugene Tkachenko Leiter des Community-Programms linkedin icon Folgen

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Greenbug APT ist eine iranische Cyber-Spionage-Einheit, die seit mindestens Juni 2016 aktiv ist. Die Gruppe nutzt höchstwahrscheinlich Spear-Phishing-Angriffe, um zielgerichtete Organisationen zu kompromittieren. Gegner nutzen mehrere Werkzeuge, um nach einer ersten Kompromittierung andere Systeme im Netzwerk zu kompromittieren und Benutzernamen und Passwörter von Betriebssystemen, E-Mail-Konten und Webbrowsern zu stehlen. Im Jahr 2017 wurden die von der Greenbug-Gruppe gesammelten Zugangsdaten bei Angriffen einer anderen iranischen APT-Gruppe verwendet, die destruktive Shamoon-Wiper-Malware.

Ihre neue Kampagne begann im April 2019 und dauerte über ein Jahr, wobei Telekommunikationsunternehmen in Südasien ins Visier genommen wurden. Greenbug verwendet handelsübliche und geplante Tools, offenbar ist die Gruppe daran interessiert, Zugang zu Datenbankservern zu erhalten: Gegner stehlen Anmeldedaten und nutzen sie dann, um die Konnektivität zu diesen Servern zu testen. Ihr Fokus auf das Stehlen von Anmeldedaten und das Herstellen von Verbindungen zu Datenbankservern zeigt, dass die Gruppe darauf abzielt, hochrangigen Zugang zu einem Netzwerk eines Opfers zu erlangen – ein Zugang, der, wenn er ausgenutzt wird, sehr schnell Chaos in einem kompromittierten Netzwerk verursachen könnte. Dieses Zugriffslevel könnte, wenn es von Akteuren mit störender Malware oder Ransomware genutzt wird, das gesamte Netzwerk einer Organisation sehr schnell lahmlegen.  

Die neue Regel von Emir Erdogan veröffentlicht im Threat Detection Marketplace hilft, Greenbug-APT-Aktivitäten zu erkennen und deren Versuche, zusätzliche Werkzeuge zu installieren: https://tdm.socprime.com/tdm/info/ZBEGEjbgCbwS/DYyQS3IB1-hfOQirPFQ4/?p=1



Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: CrowdStrike, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Ausführung, Persistenz, Privilegieneskalation,

Techniken: PowerShell (T1086), PowerShell-Profil (T1504), Geplanter Task (T1053), Web-Shell (T1100)

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More Neueste Bedrohungen Articles

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Zahorulko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Zahorulko Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten 4 min zu lesen Neueste Bedrohungen Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten by Veronika Zahorulko