Règle Sigma : Groupe de Pirates Informatique Outlaw

[post-views]
mai 04, 2020 · 3 min de lecture
Règle Sigma : Groupe de Pirates Informatique Outlaw

L’équipe de SOC Prime a publié une nouvelle règle Sigma basée sur les IOCs qui peut détecter les indicateurs connus du groupe de hackers Outlaw.

Consultez le lien pour voir les traductions disponibles sur le Threat Detection Marketplace :https://tdm.socprime.com/tdm/info/yyiW6rvv5a00/JiEBzHEBjwDfaYjKqEwv/

Vous pouvez aussi utiliser Uncoder pour convertir une règle Sigma vers un certain nombre de plateformes supportées sans accéder à votre environnement SIEM. Nous avons récemment ajouté la prise en charge de nouvelles plateformes afin que davantage d’entreprises puissent utiliser cet outil gratuit.

Après une montée en popularité relativement rapide en 2018, les coinminers connaissent désormais un déclin significatif de l’intérêt des cybercriminels. Principalement, le centre de cette tendance réside dans le fait que seuls quelques acteurs de menaces ont réussi à tirer un profit significatif, et très peu d’entre eux continuent des campagnes à grande échelle. L’un des acteurs de menaces qui continue des campagnes est le groupe de hackers Outlaw, qui est actif depuis 2018, mais les experts en cybersécurité ne savent toujours pas grand-chose à propos de ce groupe. Initialement, les cybercriminels infectaient des appareils IoT et des serveurs Linux pour miner de la cryptomonnaie Monero. En 2019, le groupe a mis à jour son botnet afin qu’il puisse être utilisé pour effectuer des attaques DDoS, la plupart des cibles du groupe étant situées en Chine.

La prochaine vague d’activité du groupe de hackers Outlaw a commencé en décembre l’année dernière. Une fois de plus, les attaquants ont modifié leur botnet et leurs attaques sont devenues plus ciblées sur les entreprises. La nouvelle campagne cible des appareils en Europe et aux États-Unis, les cybercriminels s’intéressent aux entreprises avec des systèmes exposés à Internet avec peu ou pas de surveillance du trafic et des activités, et aux entreprises qui n’ont pas encore corrigé leurs systèmes. En plus de la fonction de minage de cryptomonnaie, le botnet dispose désormais d’une série d’outils pour le vol de données et de techniques d’évasion améliorées pour les activités de scan.

action : global
titre : Outlaw Hacking Group (IOCs)
description : Outlaw groupe de hackers indicateur of compromission.
status : stable
auteur : SOC Prime Team
tags :
attack.command_and_control
attack.t1071
attack.t1043

niveau : haut

source_log :
  catégorie : dns
détection :
  sélection :
    requête : « debian-package.center »
  condition : sélection

source_log :
  catégorie :
pare-feu
détection :
  sélection :
    dst_ip :

    – « 45.9.148.125 »
    – « 45.9.148.129 »
    – « 45.9.148.99 »

  condition : sélection

source_log :
  catégorie :
proxy
détection :
  sélection :
    cs-host :

    – « debian-package.center »
    – « 45.9.148.125 »
    – « 45.9.148.129 »
    – « 45.9.148.99 »

  sélection2 :
    r-dns :

    – « debian-package.center »
  condition : sélection or sélection2 

Une règle Sigma communautaire précédente publiée sur notre blog a aidé à détecter la campagne de malware Asnarok ciblant les pare-feux Sophos XG :https://socprime.com/blog/sigma-rule-sophos-firewall-asnarok-malware-campaign/

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Articles connexes