Bedrohungsjagd-Regeln: Gamaredon Group Verhalten

[post-views]
August 17, 2020 · 2 min zu lesen
Bedrohungsjagd-Regeln: Gamaredon Group Verhalten

Die Gamaredon-Gruppe tauchte 2013 auf und verwendete zunächst keine maßgeschneiderte Malware, entwickelte jedoch im Laufe der Zeit eine Reihe von Cyber-Spionage-Tools, darunter Pterodo und EvilGnome Malware. In den letzten Monaten hat die Gruppe aktiv Phishing-E-Mails gesendet mit Dokumenten, die bösartige Makros enthalten, die eine Vielzahl verschiedener Malware-Varianten herunterladen. Die Gamaredon-Gruppe verwendet sehr einfache Tools, die in verschiedenen Programmiersprachen geschrieben sind und dazu entwickelt wurden, sensible Daten auf angegriffenen Systemen zu sammeln und Malware im Netzwerk der kompromittierten Organisation zu verbreiten. 

Im Gegensatz zu den meisten staatlich geförderten Cyber-Spionage-Einheiten zögert die Gamaredon-Gruppe nicht, „laute“ Tools einzusetzen, die zusätzliche Malware herunterladen und einsetzen können, die weit unauffälliger sein könnte. Typischerweise versucht der Bedrohungsakteur, so viele Systeme wie möglich zu infizieren und vertrauliche Dateien so schnell wie möglich zu stehlen, bevor die IT-Sicherheitsabteilung einen Vorfall entdeckt und darauf reagiert. Daher ist es entscheidend, die Werkzeuge der Gruppe schnell zu entdecken, und Sie können die von Ariel Millahuel veröffentlichte Community-Bedrohungsjagdregel verwenden, um das Verhalten der Gamaredon-Gruppe aufzudecken und ihre Aktivitäten zu stoppen, bevor sensible Daten exfiltriert werden: https://tdm.socprime.com/tdm/info/2pyW5Obof5YW/1QlL7HMBSh4W_EKGSZ86/?p=1



Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Microsoft Defender ATP, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Persistenz

Techniken: Office Application Startup (T1137)


Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Program bei um eigene Inhalte zu erstellen und sie mit der TDM-Community zu teilen.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.