Contenu de Chasse aux Menaces : Détection Multiple HawkEye

Dernières Menaces

mai 18, 2020

2 min de lecture

Contenu de Chasse aux Menaces : Détection Multiple HawkEye

Eugene Tkachenko
Eugene Tkachenko Responsable Programme Communautaire linkedin icon Suivre

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnez-vous au Résumé Hebdomadaire

Exclusif pour les utilisateurs de SOC Prime

Newsletter Icon

Nous commençons la semaine avec une nouvelle règle d’Emir Erdogan – Détection Multiple HawkEye (Campagne de Phishing Thématique Covid19). Ce malware, également connu sous le nom de Predator Pain, vole une variété d’informations sensibles du système infecté, y compris des informations de portefeuille bitcoin et des identifiants pour les navigateurs et les clients de messagerie. Le voleur est capable de prendre des captures d’écran et peut agir comme un enregistreur de frappe. Le malware est distribué depuis 2013, est disponible comme un service sur le dark web, et ses auteurs impliquent leurs clients dans la revente du malware. Grâce à cette activité, presque chaque jour, de nouveaux échantillons de HawkEye infostealer sont téléchargés sur any.run. Il est généralement utilisé au début d’une attaque pour collecter des informations et des identifiants avant d’installer d’autres outils, surtout depuis qu’une fonction de téléchargeur a été découverte dans des échantillons récemment découverts.

Une règle d’Emir Erdogan découvre des variantes de HawkEye qui sont distribuées via des courriels de phishing à thème COVID-19 ciblant plusieurs organisations dans le secteur de la santé. L’acteur de la menace derrière cette campagne ne peut être déterminé, mais les chercheurs en sécurité d’Anomali croient qu’ils montrent un niveau de sophistication modéré.

https://tdm.socprime.com/tdm/info/PI3uYeozxMLb/sCEcGHIBjwDfaYjKTYKZ/?p=1

 

La règle a des traductions pour les plateformes suivantes :

SIEM : ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black

 

MITRE ATT&CK :

Tactiques : Exécution, Persistance, Escalade de Privilèges, Évasion de Défense

Techniques : Injection de Processus (T1055), Tâche Planifiée (T1053), Compression Logicielle (T1045)

 

Nous voulons également attirer votre attention sur la règle communautaire mise à jour par Joseph Kamau, un autre participant au Programme de Récompense de Menaces qui détecte cette famille de malware : https://tdm.socprime.com/tdm/info/UfASCTRThrpD/ucL5um0BEiSx7l0HUYUP/

Plus de règles connexes :

Détecteur de keylogger Hawkeye par Lee Archinal – https://tdm.socprime.com/tdm/info/vQ4U4oKDynbo/ss22ImsBohFCZEpaTLaW/

Malware HawkEye – Escroquerie au Coronavirus (détection Sysmon) par Ariel Millahuel – https://tdm.socprime.com/tdm/info/VuI07TPn1F2J/AbHIBnEBqweaiPYISiu3/

Hawkeye Strain from Purchase List PDF (Comportement Sysmon)(19 mars 2020) par Lee Archinal – https://tdm.socprime.com/tdm/info/G8ZfXLdGYn0Q/i7FZ93ABqweaiPYIJiTQ/

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.
Rejoindre gratuitement Planifier une réunion

More Dernières Menaces Articles

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Zahorulko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Zahorulko Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants 5 min de lecture Dernières Menaces Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants by Veronika Zahorulko