Règles de Chasse aux Menaces : Comportement du Groupe Gamaredon

Le groupe Gamaredon est apparu en 2013 et, au début, n’utilisait pas de logiciels malveillants personnalisés, mais au fil du temps, a développé un certain nombre d’outils de cyberespionnage, y compris Pterodo et EvilGnome malware. Au cours des derniers mois, le groupe a été activement envoyant des e-mails de phishing avec des documents contenant des macros malveillantes qui téléchargent une multitude de variantes de logiciels malveillants différents. Le groupe Gamaredon utilise des outils très simples écrits dans différents langages de programmation conçus pour collecter des données sensibles sur les systèmes attaqués et pour propager des logiciels malveillants à travers le réseau de l’organisation compromise. 

Contrairement à la plupart des unités de cyberespionnage parrainées par l’État, le groupe Gamaredon n’hésite pas à utiliser des outils « bruyants » capables de télécharger et de déployer des logiciels malveillants supplémentaires qui pourraient être bien plus furtifs. En général, l’acteur de la menace essaie d’infecter autant de systèmes que possible et de voler des fichiers confidentiels aussi rapidement que possible avant que le département de la sécurité informatique ne détecte et ne réponde à un incident. Par conséquent, découvrir rapidement les outils du groupe est crucial et vous pouvez utiliser la règle de chasse aux menaces communautaire publiée par Ariel Millahuel pour révéler le comportement du groupe Gamaredon et arrêter leur activité avant que des données sensibles ne soient exfiltrées : https://tdm.socprime.com/tdm/info/2pyW5Obof5YW/1QlL7HMBSh4W_EKGSZ86/?p=1

La règle dispose de traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black, Microsoft Defender ATP, Elastic Endpoint

MITRE ATT&CK : 

Tactiques : Persistance

Techniques : Démarrage d’application Office (T1137)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.