Reglas de Caza de Amenazas: Golden Chickens MaaS

Como sabes, el Malware como Servicio (MaaS) es un negocio que se ha convertido en algo común y opera en los foros clandestinos y mercados negros ofreciendo una gama de servicios. Los primeros ataques utilizando Golden Chickens MaaS comenzaron en 2017, y el grupo Cobalt estuvo entre sus primeros «clientes». El éxito de este proyecto depende en gran medida de herramientas y servicios específicos, que proporcionan a los clientes el malware y la infraestructura que necesitan para ataques dirigidos. 

Esta primavera, los autores de malware mejoraron una vez más TerraLoader, VenomLNK y more_eggs, y varios actores de amenazas ya han aprovechado la funcionalidad actualizada. TerraLoader es un cargador multipropósito escrito en PureBasic, su nueva variante utiliza diferentes técnicas de de/obfuscación de cadenas, implementación de fuerza bruta y técnicas anti-análisis. VenomLNK es un archivo de acceso directo de Windows probablemente generado por una versión más nueva del kit de construcción VenomKit. Ahora utiliza un nuevo número de serie de volumen, un esquema de ejecución evolucionado, y solo la ruta local al indicador de comandos de Windows. Y el backdoor more_eggs ahora incluye un retraso mínimo antes de ejecutar o reintentar una acción, y limpia la memoria después de usarla.

Nueva caza de amenazas Sigma de la comunidad por Osman Demir ayuda a detectar las herramientas actualizadas que son parte del Golden Chickens MaaS: https://tdm.socprime.com/tdm/info/9qsYmDO3UnAK/8tPCj3MBQAH5UgbBiEhf/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución, Evasión de Defensa, Persistencia, Escalamiento de Privilegios

Técnicas: Regsvr32 (T1117), Tarea Programada (T1053), Ejecución de Usuario (T1204)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.