Règles de Chasse aux Menaces : Comportement du Groupe Gamaredon

Eugene Tkachenko Responsable Programme Communautaire

Add to my AI research

Le groupe Gamaredon est apparu en 2013 et, au début, n’utilisait pas de logiciels malveillants personnalisés, mais au fil du temps, a développé un certain nombre d’outils de cyberespionnage, y compris Pterodo et EvilGnome malware. Au cours des derniers mois, le groupe a été activement envoyant des e-mails de phishing avec des documents contenant des macros malveillantes qui téléchargent une multitude de variantes de logiciels malveillants différents. Le groupe Gamaredon utilise des outils très simples écrits dans différents langages de programmation conçus pour collecter des données sensibles sur les systèmes attaqués et pour propager des logiciels malveillants à travers le réseau de l’organisation compromise.

Contrairement à la plupart des unités de cyberespionnage parrainées par l’État, le groupe Gamaredon n’hésite pas à utiliser des outils « bruyants » capables de télécharger et de déployer des logiciels malveillants supplémentaires qui pourraient être bien plus furtifs. En général, l’acteur de la menace essaie d’infecter autant de systèmes que possible et de voler des fichiers confidentiels aussi rapidement que possible avant que le département de la sécurité informatique ne détecte et ne réponde à un incident. Par conséquent, découvrir rapidement les outils du groupe est crucial et vous pouvez utiliser la règle de chasse aux menaces communautaire publiée par Ariel Millahuel pour révéler le comportement du groupe Gamaredon et arrêter leur activité avant que des données sensibles ne soient exfiltrées : https://tdm.socprime.com/tdm/info/2pyW5Obof5YW/1QlL7HMBSh4W_EKGSZ86/?p=1

La règle dispose de traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black, Microsoft Defender ATP, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Persistance

Techniques : Démarrage d’application Office (T1137)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement Planifier une réunion

More Dernières Menaces Articles

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore

Fév 11/2025 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Zahorulko

Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes

Fév 5/2025 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Zahorulko

Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants

Jan 31/2025 5 min de lecture Dernières Menaces Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants by Veronika Zahorulko