Nous commençons la semaine avec une nouvelle règle d’Emir Erdogan – Détection Multiple HawkEye (Campagne de Phishing Thématique Covid19). Ce malware, également connu sous le nom de Predator Pain, vole une variété d’informations sensibles du système infecté, y compris des informations de portefeuille bitcoin et des identifiants pour les navigateurs et les clients de messagerie. Le voleur est capable de prendre des captures d’écran et peut agir comme un enregistreur de frappe. Le malware est distribué depuis 2013, est disponible comme un service sur le dark web, et ses auteurs impliquent leurs clients dans la revente du malware. Grâce à cette activité, presque chaque jour, de nouveaux échantillons de HawkEye infostealer sont téléchargés sur any.run. Il est généralement utilisé au début d’une attaque pour collecter des informations et des identifiants avant d’installer d’autres outils, surtout depuis qu’une fonction de téléchargeur a été découverte dans des échantillons récemment découverts.
Une règle d’Emir Erdogan découvre des variantes de HawkEye qui sont distribuées via des courriels de phishing à thème COVID-19 ciblant plusieurs organisations dans le secteur de la santé. L’acteur de la menace derrière cette campagne ne peut être déterminé, mais les chercheurs en sécurité d’Anomali croient qu’ils montrent un niveau de sophistication modéré.
https://tdm.socprime.com/tdm/info/PI3uYeozxMLb/sCEcGHIBjwDfaYjKTYKZ/?p=1
La règle a des traductions pour les plateformes suivantes :
SIEM : ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR : Carbon Black
MITRE ATT&CK :
Tactiques : Exécution, Persistance, Escalade de Privilèges, Évasion de Défense
Techniques : Injection de Processus (T1055), Tâche Planifiée (T1053), Compression Logicielle (T1045)
Nous voulons également attirer votre attention sur la règle communautaire mise à jour par Joseph Kamau, un autre participant au Programme de Récompense de Menaces qui détecte cette famille de malware : https://tdm.socprime.com/tdm/info/UfASCTRThrpD/ucL5um0BEiSx7l0HUYUP/
Plus de règles connexes :
Détecteur de keylogger Hawkeye par Lee Archinal – https://tdm.socprime.com/tdm/info/vQ4U4oKDynbo/ss22ImsBohFCZEpaTLaW/
Malware HawkEye – Escroquerie au Coronavirus (détection Sysmon) par Ariel Millahuel – https://tdm.socprime.com/tdm/info/VuI07TPn1F2J/AbHIBnEBqweaiPYISiu3/
Hawkeye Strain from Purchase List PDF (Comportement Sysmon)(19 mars 2020) par Lee Archinal – https://tdm.socprime.com/tdm/info/G8ZfXLdGYn0Q/i7FZ93ABqweaiPYIJiTQ/
