Règles de Chasse aux Menaces : Golden Chickens MaaS

Comme vous le savez, le Malware-as-a-Service (MaaS) est une activité qui est déjà devenue courante et qui fonctionne sur les forums clandestins et les marchés noirs offrant une gamme de services. Les premières attaques utilisant le MaaS de Golden Chickens ont commencé en 2017, et le groupe Cobalt était parmi leurs premiers « clients ». Le succès de ce projet repose fortement sur des outils et des services spécifiques, qui fournissent aux clients les logiciels malveillants et l’infrastructure dont ils ont besoin pour des attaques ciblées. 

Ce printemps, les auteurs de logiciels malveillants ont à nouveau amélioré TerraLoader, VenomLNK et more_eggs, et plusieurs acteurs malveillants ont déjà profité de la fonctionnalité mise à jour. TerraLoader est un chargeur polyvalent écrit en PureBasic, sa nouvelle variante utilise une dé/obfuscation de chaîne différente, une implémentation de l’attaque par force brute et des techniques anti-analyse. VenomLNK est un fichier de raccourci Windows probablement généré par une version plus récente du kit de construction VenomKit. Il utilise désormais un nouveau numéro de série de volume, un schéma d’exécution évolué, et seulement le chemin local vers l’invite de commande Windows. Et la porte dérobée more_eggs inclut désormais un délai minimal avant d’exécuter ou de réessayer une action, et nettoie la mémoire après l’avoir utilisée.

Nouvelle chasse aux menaces par la communauté Sigma par Osman Demir aide à détecter les outils mis à jour qui font partie du MaaS de Golden Chickens : https://tdm.socprime.com/tdm/info/9qsYmDO3UnAK/8tPCj3MBQAH5UgbBiEhf/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution, Évasion de la défense, Persistance, Escalade de privilèges

Techniques : Regsvr32 (T1117), Tâche planifiée (T1053), Exécution par l’utilisateur (T1204)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.