Bedrohungsjagd-Regeln: Golden Chickens MaaS

Wie Sie wissen, ist Malware-as-a-Service (MaaS) ein Geschäftsmodell, das bereits alltäglich geworden ist und in Untergrundforen und auf dem Schwarzmarkt eine Vielzahl von Dienstleistungen anbietet. Die ersten Angriffe unter Verwendung des Golden Chickens MaaS begannen bereits 2017, und die Cobalt-Gruppe gehörte zu ihren ersten „Kunden“. Der Erfolg dieses Projekts hängt stark von spezifischen Tools und Dienstleistungen ab, die den Kunden die Malware und die Infrastruktur bereitstellen, die sie für gezielte Angriffe benötigen. 

Diesen Frühling haben Malware-Autoren TerraLoader, VenomLNK und more_eggs einmal mehr verbessert, und mehrere Bedrohungsakteure haben bereits die aktualisierten Funktionen genutzt. TerraLoader ist ein Mehrzweck-Loader, geschrieben in PureBasic; seine neue Variante verwendet unterschiedliche Zeichenketten-Dekodierung/Verschleierung, Brute-Force-Implementierung und Anti-Analyse-Techniken. VenomLNK ist eine Windows-Verknüpfungsdatei, die wahrscheinlich mit einer neueren Version des VenomKit-Baukastens erstellt wurde. Jetzt verwendet es eine neue Volumen-Seriennummer, ein weiterentwickeltes Ausführungsschema und nur den lokalen Pfad zur Windows-Eingabeaufforderung. Und der more_eggs Backdoor enthält jetzt eine minimale Verzögerung vor der Ausführung oder einem erneuten Versuch einer Aktion und bereinigt den Speicher nach der Nutzung.

Neue Community-Thread-Jagd Sigma von Osman Demir hilft dabei, die aktualisierten Werkzeuge zu erkennen, die Teil von Golden Chickens MaaS sind: https://tdm.socprime.com/tdm/info/9qsYmDO3UnAK/8tPCj3MBQAH5UgbBiEhf/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Ausführung, Abwehrumgehung, Beharrlichkeit, Berechtigungseskalation

Techniken: Regsvr32 (T1117), Geplanter Task (T1053), Benutzer-Ausführung (T1204)

Bereit, SOC Prime TDM auszuprobieren? Kostenlos registrieren. Oder dem Threat Bounty Program beitreten um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.