Threat-Hunting-Inhalte: HawkEye Mehrfacherkennung

Wir beginnen die Woche mit einer neuen Regel von Emir Erdogan – HawkEye Multiple Detection (Covid19 Thematisierte Phishing-Kampagne). Diese Malware ist auch als Predator Pain bekannt und stiehlt eine Vielzahl sensibler Informationen vom infizierten System, darunter Bitcoin-Wallet-Informationen und Anmeldedaten für Browser und E-Mail-Clients. Der Stealer ist in der Lage, Screenshots zu machen und kann als Keylogger fungieren. Die Malware wird seit 2013 verbreitet, sie ist als Service im Darknet verfügbar, und ihre Autoren beteiligen ihre Kunden am Weiterverkauf der Malware. Dank dieser Aktivität werden fast täglich neue HawkEye Infostealer Samples hochgeladen nach any.run. Es wird normalerweise zu Beginn eines Angriffs verwendet, um Informationen und Anmeldedaten zu sammeln, bevor andere Tools installiert werden, insbesondere seit eine Downloader-Funktion entdeckt in kürzlich entdeckten Proben wurde.

Eine Regel von Emir Erdogan entdeckt HawkEye-Varianten, die über COVID-19 thematisierte Phishing-E-Mails an mehrere Organisationen im Gesundheitssektor gerichtet sind. Der Bedrohungsakteur hinter dieser Kampagne kann nicht bestimmt werden, aber Sicherheitsforscher bei Anomali glauben sie zeigen ein moderates Maß an Raffinesse.

https://tdm.socprime.com/tdm/info/PI3uYeozxMLb/sCEcGHIBjwDfaYjKTYKZ/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black

MITRE ATT&CK: 

Taktiken: Execution, Persistence, Privilege Escalation, Defense Evasion

Techniken: Process Injection (T1055), Scheduled Task (T1053), Software Packing (T1045)

Wir möchten auch Ihre Aufmerksamkeit auf die aktualisierte Community-Regel von Joseph Kamau lenken, einem weiteren Teilnehmer des Threat Bounty Program die diese Malware-Familie erkennt: https://tdm.socprime.com/tdm/info/UfASCTRThrpD/ucL5um0BEiSx7l0HUYUP/

Weitere verwandte Regeln:

Hawkeye Keylogger-Detektor von Lee Archinal – https://tdm.socprime.com/tdm/info/vQ4U4oKDynbo/ss22ImsBohFCZEpaTLaW/

HawkEye Malware – Coronavirus-Betrug (Sysmon-Erkennung) von Ariel Millahuel – https://tdm.socprime.com/tdm/info/VuI07TPn1F2J/AbHIBnEBqweaiPYISiu3/

Hawkeye Strain von Purchase List PDF (Sysmon-Verhalten)(19-März-2020) von Lee Archinal – https://tdm.socprime.com/tdm/info/G8ZfXLdGYn0Q/i7FZ93ABqweaiPYIJiTQ/