Reglas de Caza de Amenazas: Comportamiento del Grupo Gamaredon

El grupo Gamaredon apareció en 2013 y al principio, no utilizaba malware personalizado, pero con el tiempo desarrolló una serie de herramientas de ciberespionaje, incluyendo Pterodo y EvilGnome malware. En los últimos meses, el grupo ha estado activamente enviando correos electrónicos de suplantación de identidad con documentos que contienen macros maliciosas que descargan una multitud de variantes de malware diferentes. El grupo Gamaredon utiliza herramientas muy simples escritas en diferentes lenguajes de programación que están diseñadas para recolectar datos sensibles en los sistemas atacados y propagar malware a través de la red de la organización comprometida. 

A diferencia de la mayoría de las unidades de ciberespionaje patrocinadas por el estado, el grupo Gamaredon no duda en usar herramientas «ruidosas» que son capaces de descargar e implementar malware adicional que podría ser mucho más sigiloso. Normalmente, el actor de amenazas intenta infectar tantos sistemas como sea posible y robar archivos confidenciales tan rápido como sea posible antes de que el departamento de Seguridad de TI detecte y responda a un incidente. Por lo tanto, descubrir rápidamente las herramientas del grupo es crítico y puede utilizar la regla de búsqueda de amenazas de la comunidad publicada por Ariel Millahuel para descubrir el comportamiento del grupo Gamaredon y detener su actividad antes de que los datos sensibles sean exfiltrados: https://tdm.socprime.com/tdm/info/2pyW5Obof5YW/1QlL7HMBSh4W_EKGSZ86/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Microsoft Defender ATP, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Persistencia

Técnicas: Inicio de aplicación de Office (T1137)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.