L’équipe de SOC Prime a publié une nouvelle règle Sigma basée sur les IOCs qui peut détecter les indicateurs connus du groupe de hackers Outlaw.
Consultez le lien pour voir les traductions disponibles sur le Threat Detection Marketplace :https://tdm.socprime.com/tdm/info/yyiW6rvv5a00/JiEBzHEBjwDfaYjKqEwv/
Vous pouvez aussi utiliser Uncoder pour convertir une règle Sigma vers un certain nombre de plateformes supportées sans accéder à votre environnement SIEM. Nous avons récemment ajouté la prise en charge de nouvelles plateformes afin que davantage d’entreprises puissent utiliser cet outil gratuit.
Après une montée en popularité relativement rapide en 2018, les coinminers connaissent désormais un déclin significatif de l’intérêt des cybercriminels. Principalement, le centre de cette tendance réside dans le fait que seuls quelques acteurs de menaces ont réussi à tirer un profit significatif, et très peu d’entre eux continuent des campagnes à grande échelle. L’un des acteurs de menaces qui continue des campagnes est le groupe de hackers Outlaw, qui est actif depuis 2018, mais les experts en cybersécurité ne savent toujours pas grand-chose à propos de ce groupe. Initialement, les cybercriminels infectaient des appareils IoT et des serveurs Linux pour miner de la cryptomonnaie Monero. En 2019, le groupe a mis à jour son botnet afin qu’il puisse être utilisé pour effectuer des attaques DDoS, la plupart des cibles du groupe étant situées en Chine.
La prochaine vague d’activité du groupe de hackers Outlaw a commencé en décembre l’année dernière. Une fois de plus, les attaquants ont modifié leur botnet et leurs attaques sont devenues plus ciblées sur les entreprises. La nouvelle campagne cible des appareils en Europe et aux États-Unis, les cybercriminels s’intéressent aux entreprises avec des systèmes exposés à Internet avec peu ou pas de surveillance du trafic et des activités, et aux entreprises qui n’ont pas encore corrigé leurs systèmes. En plus de la fonction de minage de cryptomonnaie, le botnet dispose désormais d’une série d’outils pour le vol de données et de techniques d’évasion améliorées pour les activités de scan.
action : global
titre : Outlaw Hacking Group (IOCs)
description : Outlaw groupe de hackers indicateur of compromission.
status : stable
auteur : SOC Prime Team
tags :
– attack.command_and_control
– attack.t1071
– attack.t1043
niveau : haut
—
source_log :
catégorie : dns
détection :
sélection :
requête : « debian-package.center »
condition : sélection
—
source_log :
catégorie : pare-feu
détection :
sélection :
dst_ip :
– « 45.9.148.125 »
– « 45.9.148.129 »
– « 45.9.148.99 »
condition : sélection
—
source_log :
catégorie : proxy
détection :
sélection :
cs-host :
– « debian-package.center »
– « 45.9.148.125 »
– « 45.9.148.129 »
– « 45.9.148.99 »
sélection2 :
r-dns :
– « debian-package.center »
condition : sélection or sélection2
Une règle Sigma communautaire précédente publiée sur notre blog a aidé à détecter la campagne de malware Asnarok ciblant les pare-feux Sophos XG :https://socprime.com/blog/sigma-rule-sophos-firewall-asnarok-malware-campaign/
