Résumé des Règles : Groupes APT, Campagnes de Malware et Télémétrie Windows

[post-views]
juin 13, 2020 · 6 min de lecture
Résumé des Règles : Groupes APT, Campagnes de Malware et Télémétrie Windows

Cette semaine, notre Résumé des Règles couvre plus de contenu que d’habitude. Il compile des règles pour détecter les récentes attaques d’acteurs parrainés par l’État, les campagnes de logiciels malveillants menées par des cybercriminels, et l’abus de la télémétrie Windows.

 

Mustang Panda est le groupe de menace basé en Chine qui a démontré une capacité à assimiler rapidement de nouveaux outils et tactiques dans ses opérations. Ce groupe APT cible généralement les organisations non gouvernementales, et les adversaires utilisent souvent des logiciels malveillants partagés comme Poison Ivy ou PlugX dans leurs campagnes. Ils peuvent utiliser une série de redirections et des implémentations malveillantes sans fichier d’outils légitimes pour accéder aux systèmes ciblés et réutiliser des domaines légitimes précédemment observés pour héberger des fichiers. 

La règle par Ariel Millahuel dévoile les activités de l’Acteur de Menace liées à l’utilisation de la technique DLL-Sideload (avec un binaire légitime) et le déploiement du Trojan PlugX.

Nouvelle activité possible de Mustang Panda (via le Trojan PlugX)

https://tdm.socprime.com/tdm/info/QjFFiT08pnJW/MT-inXIBQAH5UgbBgP0n/?p=1

Plus de règles pour détecter le Trojan PlugX sur Threat Detection Marketplace

 

Le malware Lookback a été utilisé pour la première fois dans une campagne de spear-phishing ciblant des entreprises américaines dans le secteur des services publics. Après exposition, au lieu de cesser la campagne, les opérateurs du Trojan LookBack ont modifié le texte des e-mails de phishing et ont continué à attaquer les organisations. Au départ, ces attaques étaient liées à l’unité de cyber-espionnage chinoise, mais une observation plus poussée des campagnes a permis aux chercheurs de suggérer que la similarité des TTP pourrait être utilisée par les attaquants comme un faux drapeau pour compliquer l’attribution. En parallèle des campagnes LookBack, les chercheurs de Proofpoint ont identifié une nouvelle famille de malwares, nommée FlowCloud, qui était également distribuée aux fournisseurs américains de services publics. Le malware donne à l’acteur de menace un contrôle complet sur une machine infectée. Ses fonctionnalités incluent la capacité d’accéder aux applications installées, au clavier, à la souris, à l’écran, aux fichiers, aux services et aux processus avec la capacité d’exfiltrer des informations via commande et contrôle. La règle communautaire par Den Iuzvik détecte les caractéristiques du Groupe TA410 dans les campagnes de malwares LookBack et FlowCloud.

Campagnes de malwares TA410 LookBack et FlowCloud (Comportement Sysmon)

https://tdm.socprime.com/tdm/info/lKou8ugtwy5L/yzzGnXIBSh4W_EKGDORm/?p=1

 

Charming Kitten est une unité de cyber-espionnage iranienne qui est active depuis environ 2014 ciblant des organisations impliquées dans les secteurs gouvernementaux, de la technologie de défense, militaire et diplomatique. La plupart de leurs cibles étaient situées en Iran, aux États-Unis, en Israël et au Royaume-Uni. Charming Kitten essaie habituellement d’accéder aux comptes privés de messagerie électronique et Facebook, et parfois établit un point d’ancrage sur les ordinateurs des victimes comme objectif secondaire. Lors des attaques, le groupe APT utilise souvent le Trojan de porte dérobée DownPaper, dont la fonction principale est de télécharger et exécuter un malware de prochaine étape. Cette semaine, Lee Archinal a publié une série de règles pour détecter la porte dérobée DownPaper:

Création de fichier Downpaper Charming Kitten (Comportement Sysmon)

https://tdm.socprime.com/tdm/info/rIyO0HQ4tjGE/sDzJnXIBSh4W_EKGU-YE/?p=1

Processus exécuté de Downpaper Charming Kitten (Ligne de commande) (Comportement Sysmon)

https://tdm.socprime.com/tdm/info/v1Zxyz8gOqYU/7WfPnXIBPeJ4_8xc_3Sw/?p=1

Processus exécuté de Downpaper Charming Kitten (Powershell) (Comportement Sysmon)

https://tdm.socprime.com/tdm/info/Skcb5qUnFq8K/fkDOnXIBQAH5UgbBZxat/?p=1

Modification du registre Downpaper Charming Kitten (Comportement Sysmon)

https://tdm.socprime.com/tdm/info/2QPnCf4lqAf0/iTzMnXIBSh4W_EKGU-jZ/?p=1

 


Plus loin dans notre digest, un couple de règles qui détectent l’abus de la télémétrie Windows pour la persistance qui affecte les machines Windows de 2008R2/Windows 7 à 2019/Windows 10. Les règles communautaires ont été soumises par Den Iuzvik et peuvent être utilisées pour découvrir l’abus de CompatTelRunner.exe pour la persistance. Elles peuvent également aider à détecter les actions d’un acteur de menace avancé qui a déjà pénétré le système et essaie d’élever des privilèges au niveau Système.

Abus de la télémétrie Windows CompatTelRunner.exe (Comportement Sysmon)  https://tdm.socprime.com/tdm/info/BOLaiaKu9Fpr/NUDUnXIBQAH5UgbB9hop/?p=1

Abus de la télémétrie Windows CompatTelRunner.exe (Règle d’audit)

https://tdm.socprime.com/tdm/info/0ZXi5CE8Zkwb/REDWnXIBQAH5UgbBoBvd/?p=1

Nous publierons également une règle communautaire par Sreeman Shanker qui découvre également cette méthode pour atteindre la persistance 

 

Valak est un malware sophistiqué qui a été observé pour la première fois fin 2019. Il peut être utilisé indépendamment comme un voleur d’informations pour cibler des individus et des entreprises. Les versions récentes de Valak ciblent les serveurs Microsoft Exchange pour voler des informations de messagerie d’entreprise et des mots de passe ainsi que le certificat d’entreprise. Il peut détourner les réponses aux emails et intégrer des URLs malveillantes ou des pièces jointes pour infecter les appareils avec des scripts sans fichier. Les campagnes découvertes visaient spécifiquement les entreprises aux Etats-Unis et en Allemagne. La nouvelle règle par Osman Demir vise à repérer cette menace dans le réseau d’entreprise.

Malware Valak et la Connexion au Gozi Loader ConfCrew

https://tdm.socprime.com/tdm/info/1rwi3PwN6Dya/wGoao3IBPeJ4_8xcH4Ii/?p=1

 

 

Les règles ont des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK : 

Tactiques : Accès Initial, Évasion de la Défense, Exécution, Persistance, Élévation de Privilèges, Commandement et Contrôle 

Techniques : Pièce Jointe de Spearphishing (T1193), Chargement Latéral de DLL (T1073), Clés de Démarrage / Dossier de Démarrage du Registre (T1060), Tâche Planifiée (T1053), Modification du Registre (T1112), Interface de Ligne de Commande (T1059), PowerShell (T1086), Scripting (T1064), Port Couramment Utilisé (T1043), Timestomp (T1099)

 

Attendez le prochain digest dans une semaine, et n’oubliez pas de vous inscrire aux Discussions Hebdomadaires sur les Dernières Nouvelles en Cybersécurité : https://my.socprime.com/en/weekly-talks/

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Tactique d’Exécution | TA0002
Blog, Dernières Menaces — 7 min de lecture
Tactique d’Exécution | TA0002
Daryna Olyniychuk
PyVil RAT par le groupe Evilnum
Blog, Dernières Menaces — 2 min de lecture
PyVil RAT par le groupe Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Dernières Menaces — 3 min de lecture
JSOutProx RAT
Eugene Tkachenko