Resumen de Reglas: Grupos APT, Campañas de Malware y Telemetría de Windows

[post-views]
junio 13, 2020 · 5 min de lectura
Resumen de Reglas: Grupos APT, Campañas de Malware y Telemetría de Windows

Esta semana nuestro Digest de Reglas cubre más contenido de lo habitual. Compila reglas para detectar ataques recientes de actores patrocinados por estados, campañas de malware realizadas por ciberdelincuentes y el abuso de la telemetría de Windows.

 

Mustang Panda es el grupo de amenaza con sede en China que ha demostrado la capacidad de asimilar rápidamente nuevas herramientas y tácticas en sus operaciones. Este grupo APT tiene como objetivo a las organizaciones no gubernamentales en general, y los adversarios a menudo utilizan malware compartido como Poison Ivy o PlugX en sus campañas. Pueden usar series de redirecciones e implementaciones maliciosas sin archivos de herramientas legítimas para acceder a los sistemas objetivo y reutilizar dominios legítimos observados previamente para alojar archivos. 

La regla de Ariel Millahuel descubre las actividades del Actor de Amenaza relacionadas con la utilización de la técnica DLL-Sideload (con un binario legítimo) y el despliegue del troyano PlugX.

Posible nueva actividad de Mustang Panda (a través de PlugX Trojan)

https://tdm.socprime.com/tdm/info/QjFFiT08pnJW/MT-inXIBQAH5UgbBgP0n/?p=1

Más reglas para detectar el troyano PlugX en Threat Detection Marketplace

 

El malware Lookback se utilizó por primera vez en una campaña de spear-phishing dirigida a empresas de EE. UU. en el sector de servicios públicos. Después de la exposición, en lugar de detener la campaña, los operadores del troyano LookBack cambiaron el texto de los correos electrónicos de phishing y continuaron atacando a las organizaciones. Inicialmente, estos ataques se vincularon a la unidad de ciberespionaje china, pero una mayor observación de las campañas permitió a los investigadores sugerir que la similitud en los TTP podría ser utilizada por los atacantes como una falsa bandera para complicar la atribución. Al mismo tiempo que las campañas LookBack, investigadores de Proofpoint identificaron una nueva familia de malware adicional llamada FlowCloud que también se estaba entregando a proveedores de servicios públicos de EE. UU. El malware da al actor de amenaza control total sobre una máquina infectada. Su funcionalidad incluye la capacidad de acceder a aplicaciones instaladas, el teclado, el ratón, la pantalla, los archivos, servicios y procesos con la capacidad de exfiltrar información a través de comando y control. La regla comunitaria de Den Iuzvik detecta características del Grupo TA410 en las campañas de malware LookBack y FlowCloud.

Campañas de malware TA410 LookBack y FlowCloud (Comportamiento Sysmon)

https://tdm.socprime.com/tdm/info/lKou8ugtwy5L/yzzGnXIBSh4W_EKGDORm/?p=1

 

Charming Kitten es una unidad de ciberespionaje iraní que ha estado activa desde aproximadamente 2014, apuntando a organizaciones involucradas en sectores de gobierno, tecnología de defensa, militar y diplomacia. La mayoría de sus objetivos estaban ubicados en Irán, Estados Unidos, Israel y el Reino Unido. Charming Kitten generalmente intenta acceder a cuentas de correo electrónico privado y de Facebook, y a veces establece una base en las computadoras de las víctimas como un objetivo secundario. Durante los ataques, el grupo APT utiliza a menudo el troyano de puerta trasera DownPaper, cuya función principal es descargar y ejecutar malware de la siguiente etapa. Esta semana Lee Archinal lanzó una serie de reglas para detectar el backdoor DownPaper:

Creación de Archivo Downpaper de Charming Kitten (Comportamiento Sysmon)

https://tdm.socprime.com/tdm/info/rIyO0HQ4tjGE/sDzJnXIBSh4W_EKGU-YE/?p=1

Proceso Ejecutado de Downpaper de Charming Kitten (Línea de Comando) (Comportamiento Sysmon)

https://tdm.socprime.com/tdm/info/v1Zxyz8gOqYU/7WfPnXIBPeJ4_8xc_3Sw/?p=1

Proceso Ejecutado de Downpaper de Charming Kitten (Powershell) (Comportamiento Sysmon)

https://tdm.socprime.com/tdm/info/Skcb5qUnFq8K/fkDOnXIBQAH5UgbBZxat/?p=1

Modificación del Registro de Downpaper de Charming Kitten (Comportamiento Sysmon)

https://tdm.socprime.com/tdm/info/2QPnCf4lqAf0/iTzMnXIBSh4W_EKGU-jZ/?p=1

 


Más adelante en nuestro digest, un par de reglas que detectan el abuso de la telemetría de Windows para la persistencia que afecta a las máquinas Windows desde 2008R2/Windows 7 hasta 2019/Windows 10. Las reglas comunitarias fueron enviadas por Den Iuzvik y pueden ser utilizadas para descubrir el abuso de CompatTelRunner.exe para la persistencia. También pueden ayudar a detectar acciones de un actor de amenaza avanzado que ya ha penetrado el sistema y está tratando de elevar privilegios al nivel del Sistema.

Abuso de la telemetría de Windows CompatTelRunner.exe (Comportamiento Sysmon)  https://tdm.socprime.com/tdm/info/BOLaiaKu9Fpr/NUDUnXIBQAH5UgbB9hop/?p=1

Abuso de la telemetría de Windows CompatTelRunner.exe (Regla de Auditoría)

https://tdm.socprime.com/tdm/info/0ZXi5CE8Zkwb/REDWnXIBQAH5UgbBoBvd/?p=1

También publicaremos una regla comunitaria de Sreeman Shanker que también descubre esta forma de lograr persistencia 

 

Valak es un malware sofisticado que se observó por primera vez a finales de 2019. Puede utilizarse de forma independiente como un ladrón de información para apuntar a individuos y empresas. Las versiones recientes de Valak apuntan a servidores Microsoft Exchange para robar información de correo y contraseñas corporativas junto con el certificado empresarial. Puede secuestrar respuestas de correo electrónico e incrustar URLs o archivos adjuntos maliciosos para infectar dispositivos con scripts sin archivos. Las campañas descubiertas estaban específicamente dirigidas a empresas en los Estados Unidos y Alemania. La nueva regla de Osman Demir tiene como objetivo detectar esta amenaza en la red empresarial.

Malware Valak y la Conexión con Gozi Loader ConfCrew

https://tdm.socprime.com/tdm/info/1rwi3PwN6Dya/wGoao3IBPeJ4_8xcH4Ii/?p=1

 

 

Las reglas tienen traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Acceso Inicial, Evasión de Defensa, Ejecución, Persistencia, Escalada de Privilegios, Comando y Control 

Técnicas: Spearphishing Attachment (T1193), DLL Side-Loading (T1073), Claves de Registro de Ejecución / Carpeta de Inicio (T1060), Tarea Programada (T1053), Modificar Registro (T1112), Interfaz de Línea de Comando (T1059), PowerShell (T1086), Scripting (T1064), Puerto Comúnmente Usado (T1043), Timestomp (T1099)

 

Espera el próximo digest en una semana, y no olvides registrarte en Charlas Semanales sobre Noticias de Última Hora en Ciberseguridad: https://my.socprime.com/en/weekly-talks/

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Táctica de Ejecución | TA0002
Blog, Últimas Amenazas — 6 min de lectura
Táctica de Ejecución | TA0002
Daryna Olyniychuk
PyVil RAT por el grupo Evilnum
Blog, Últimas Amenazas — 2 min de lectura
PyVil RAT por el grupo Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Últimas Amenazas — 2 min de lectura
JSOutProx RAT
Eugene Tkachenko