IOC Sigma : Activités du groupe APT GreenBug

Greenbug APT est une unité de cyber-espionnage basée en Iran, active depuis au moins juin 2016. Le groupe utilise très probablement des attaques de phishing ciblé pour compromettre les organisations visées. Les adversaires utilisent plusieurs outils pour compromettre d’autres systèmes sur le réseau après une première compromission, et volent des noms d’utilisateur et des mots de passe des systèmes d’exploitation, comptes e-mail et navigateurs web. En 2017, les identifiants collectés par le groupe Greenbug ont été utilisés dans des attaques d’un autre groupe APT iranien déployant un logiciel malveillant destructeur Shamoon wiper malware.

Leur nouvelle campagne a débuté en avril 2019 et a duré plus d’un an, ciblant les entreprises de télécommunications en Asie du Sud. Greenbug utilise des outils disponibles sur étagère et des outils légitimes détournés à des fins malveillantes. Il semble que le groupe s’intéresse à l’accès aux serveurs de bases de données : les adversaires volent des identifiants puis les utilisent pour tester la connectivité à ces serveurs. Leur concentration sur le vol d’identifiants et l’établissement de connexions avec les serveurs de bases de données montre que le groupe vise à obtenir un accès de haut niveau au réseau de la victime – un accès qui, s’il est exploité, pourrait causer des ravages sur un réseau compromis très rapidement. Ce niveau d’accès, s’il est utilisé par des acteurs employant des logiciels malveillants perturbateurs ou des ransomwares, pourrait paralyser tout le réseau d’une organisation très rapidement.  

La nouvelle règle de Emir Erdogan publiée sur le Threat Detection Marketplace aide à détecter les activités du Greenbug APT et leurs tentatives d’installation d’outils supplémentaires : https://tdm.socprime.com/tdm/info/ZBEGEjbgCbwS/DYyQS3IB1-hfOQirPFQ4/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : CrowdStrike, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution, Persistance, Escalade de privilèges,

Techniques : PowerShell (T1086), Profil PowerShell (T1504), Tâche planifiée (T1053), Web Shell (T1100)