IOC Sigma: Actividades del Grupo APT GreenBug

[post-views]
mayo 26, 2020 · 2 min de lectura
IOC Sigma: Actividades del Grupo APT GreenBug

Greenbug APT es una unidad de ciberespionaje con base en Irán que ha estado activa al menos desde junio de 2016. El grupo probablemente utiliza ataques de spear-phishing para comprometer a las organizaciones targeteadas. Los adversarios utilizan múltiples herramientas para comprometer otros sistemas en la red después de un compromiso inicial, y robar nombres de usuario y contraseñas de sistemas operativos, cuentas de correo electrónico y navegadores web. En 2017, las credenciales recopiladas por el grupo Greenbug fueron utilizadas en ataques de otro grupo APT iraní desplegando malware destructivo Shamoon wiper.

Su nueva campaña comenzó en abril de 2019 y duró más de un año, atacando a empresas de telecomunicaciones en el sur de Asia. Greenbug utiliza herramientas listas para usar y herramientas de ‘vivir de la tierra’, parece que el grupo está interesado en obtener acceso a servidores de bases de datos: los adversarios roban credenciales y luego las utilizan para probar la conectividad con estos servidores. Su enfoque en el robo de credenciales y en establecer conexiones con servidores de bases de datos muestra que el grupo busca conseguir acceso de alto nivel a la red de una víctima: el acceso que, si se explota, podría causar estragos en una red comprometida muy rápidamente. Este nivel de acceso, si es aprovechado por actores que usan malware disruptivo o ransomware, podría cerrar toda la red de una organización muy rápidamente.  

La nueva regla de Emir Erdogan lanzada en el Mercado de Detección de Amenazas ayuda a detectar actividades del APT Greenbug y sus intentos de instalar herramientas adicionales: https://tdm.socprime.com/tdm/info/ZBEGEjbgCbwS/DYyQS3IB1-hfOQirPFQ4/?p=1



La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: CrowdStrike, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución, Persistencia, Escalada de Privilegios,

Técnicas: PowerShell (T1086), Perfil de PowerShell (T1504), Tarea Programada (T1053), Consola Web (T1100)

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Acceder a la Funcionalidad de Uncoder AI a través de API 2 min de lectura Plataforma SOC Prime Acceder a la Funcionalidad de Uncoder AI a través de API by Steven Edwards Buscar en el Mercado de Detección de Amenazas de Uncoder AI 2 min de lectura Plataforma SOC Prime Buscar en el Mercado de Detección de Amenazas de Uncoder AI by Steven Edwards Traducir de Sigma a 48 idiomas 2 min de lectura Plataforma SOC Prime Traducir de Sigma a 48 idiomas by Steven Edwards
Todas las noticias