Regla Sigma: Grupo de Hackers Outlaw

[post-views]
mayo 04, 2020 · 3 min de lectura
Regla Sigma: Grupo de Hackers Outlaw

El equipo de SOC Prime lanzó una nueva regla Sigma basada en IOCs que puede detectar los indicadores conocidos del grupo de hackers Outlaw.

Consulta el enlace para ver las traducciones disponibles en el Mercado de Detección de Amenazas: https://tdm.socprime.com/tdm/info/yyiW6rvv5a00/JiEBzHEBjwDfaYjKqEwv/

También, puedes usar Uncoder para convertir la regla Sigma a varias plataformas compatibles sin acceso a tu entorno SIEM. Recientemente añadimos soporte para nuevas plataformas para que más empresas puedan usar esta herramienta gratuita.

Después de un aumento relativamente rápido en popularidad en 2018, los mineros de criptomonedas ahora están experimentando una disminución significativa en el interés de los ciberdelincuentes. Principalmente, se debe al hecho de que solo algunos actores de amenazas lograron obtener ganancias significativas, y muy pocos de ellos continúan con campañas a gran escala. Uno de los actores de amenaza que tienen campañas en curso es el grupo de hackers Outlaw, que ha estado activo desde 2018, pero los expertos en ciberseguridad aún no saben mucho sobre este grupo. Inicialmente, los ciberdelincuentes infectaron dispositivos IoT y servidores Linux para minar criptomonedas Monero. En 2019, el grupo actualizó su botnet para que pudiera usarse para realizar ataques DDoS, la mayoría de los objetivos del grupo se ubicaron en China.

El siguiente aumento de actividad del grupo de hackers Outlaw comenzó en diciembre del año pasado. Una vez más, los atacantes modificaron su botnet y sus ataques se volvieron más dirigidos a empresas. La nueva campaña tiene como objetivo dispositivos en Europa y Estados Unidos, los ciberdelincuentes están interesados en empresas con sistemas expuestos a internet con poca o ninguna supervisión del tráfico y actividades, y empresas que aún no han parcheado sus sistemas. Además de la función de minería de criptomonedas, el botnet ahora tiene un conjunto de herramientas para el robo de datos y técnicas mejoradas de evasión para actividades de escaneo.

acción: global
título: Outlaw Hacking Group (IOCs)
descripción: Outlaw hacking group indicador of de compromiso.
estado: estable
autor: SOC Prime Equipo
etiquetas:
ataque.comando_y_control
ataque.t1071
ataque.t1043

nivel: alto

fuente_de_logs:
  categoría: dns
detección:
  selección:
    consulta: «debian-package.center»
  condición: selección

fuente_de_logs:
  categoría:
cortafuegos
detección:
  selección:
    dst_ip:

    – «45.9.148.125»
    – «45.9.148.129»
    – «45.9.148.99»

  condición: selección

fuente_de_logs:
  categoría:
proxy
detección:
  selección:
    cs-host:

    – «debian-package.center»
    – «45.9.148.125»
    – «45.9.148.129»
    – «45.9.148.99»

  selección2:
    r-dns:

    – «debian-package.center»
  condición: selección or selección2 

Una regla Sigma comunitaria anterior publicada en nuestro blog ayudó a detectar la campaña de malware Asnarok dirigida a los cortafuegos Sophos XG: https://socprime.com/blog/sigma-rule-sophos-firewall-asnarok-malware-campaign/

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Publicaciones relacionadas