Sigma-Regel: Outlaw-Hackergruppe

SOC Prime Team veröffentlichte eine neue Sigma-Regel basierend auf IOCs, die die bekannten Indikatoren der Outlaw-Hackergruppe erkennen kann.

Prüfen Sie den Link, um die verfügbaren Übersetzungen auf dem Threat Detection Marketplace anzusehen: https://tdm.socprime.com/tdm/info/yyiW6rvv5a00/JiEBzHEBjwDfaYjKqEwv/

Außerdem können Sie Uncoder verwenden, um die Sigma-Regel in eine Reihe von unterstützten Plattformen zu konvertieren, ohne Zugriff auf Ihre SIEM-Umgebung. Kürzlich haben wir die Unterstützung für neue Plattformen hinzugefügt, damit mehr Unternehmen dieses kostenlose Tool nutzen können.

Nach einem relativ schnellen Anstieg der Popularität im Jahr 2018 erleben Coinminer jetzt einen signifikanten Rückgang des Interesses seitens der Cyberkriminellen. Hauptsächlich dreht sich alles um die Tatsache, dass nur wenige Bedrohungsakteure erheblichen Gewinn erzielen konnten, und nur sehr wenige von ihnen führen großangelegte Kampagnen weiter. Einer der Bedrohungsakteure, der noch laufende Kampagnen betreibt, ist die Outlaw-Hackergruppe, die seit 2018 aktivist, aber Cybersicherheitsexperten wissen noch immer nicht viel über diese Gruppe. Zunächst infizierten Cyberkriminelle IoT-Geräte und Linux-Server, um Monero-Kryptowährung zu schürfen. Im Jahr 2019aktualisierte die Gruppe ihr Botnetz, sodass es für DDoS-Angriffe verwendet werden konnte. Die meisten Ziele der Gruppe befanden sich in China.

Der nächste Anstieg der Aktivitäten der Outlaw-Hackergruppe begann im Dezember letzten Jahres. Erneut modifizierten die Angreifer ihr Botnetz, und ihre Angriffe wurden gezielter auf Unternehmen ausgerichtet. Die neue Kampagne zielt auf Geräte in Europa und den Vereinigten Staaten, Cyberkriminelle sind an Unternehmen interessiert, die internetfähige Systeme mit schwacher oder keiner Überwachung von Verkehr und Aktivitäten haben und Unternehmen, die ihre Systeme noch nicht gepatcht haben. Zusätzlich zur Funktion für Kryptowährungsabbau verfügt das Botnetz jetzt über ein Set von Tools zum Datendiebstahl und verbesserte Ausweichtechniken für Scanning-Aktivitäten.

action: global
title: Outlaw Hacker Gruppe (IOCs)
description: Outlaw hacker gruppe indikator of kompromittierung.
status: stabil
author: SOC Prime Team
tags:
– attack.command_and_control
– attack.t1071
– attack.t1043
level: hoch
—
logsource:
  kategorie: dns
erkennung:
  auswahl:
    abfrage: „debian-package.center“
  bedingung: auswahl
—
logsource:
  kategorie: firewall
erkennung:
  auswahl:
    dst_ip:
    – „45.9.148.125“
    – „45.9.148.129“
    – „45.9.148.99“
  bedingung: auswahl
—
logsource:
  kategorie: proxy
erkennung:
  auswahl:
    cs-host:
    – „debian-package.center“
    – „45.9.148.125“
    – „45.9.148.129“
    – „45.9.148.99“
  auswahl2:
    r-dns:
    – „debian-package.center“
  bedingung: auswahl or auswahl2 

Eine frühere Community-Sigma-Regel, die auf unserem Blog veröffentlicht wurde, half, die Asnarok-Malware-Kampagne zu erkennen, die auf Sophos XG Firewalls abzielte: https://socprime.com/blog/sigma-rule-sophos-firewall-asnarok-malware-campaign/