Règles de Chasse aux Menaces : Golden Chickens MaaS

Eugene Tkachenko Responsable Programme Communautaire

Add to my AI research

Comme vous le savez, le Malware-as-a-Service (MaaS) est une activité qui est déjà devenue courante et qui fonctionne sur les forums clandestins et les marchés noirs offrant une gamme de services. Les premières attaques utilisant le MaaS de Golden Chickens ont commencé en 2017, et le groupe Cobalt était parmi leurs premiers « clients ». Le succès de ce projet repose fortement sur des outils et des services spécifiques, qui fournissent aux clients les logiciels malveillants et l’infrastructure dont ils ont besoin pour des attaques ciblées.

Ce printemps, les auteurs de logiciels malveillants ont à nouveau amélioré TerraLoader, VenomLNK et more_eggs, et plusieurs acteurs malveillants ont déjà profité de la fonctionnalité mise à jour. TerraLoader est un chargeur polyvalent écrit en PureBasic, sa nouvelle variante utilise une dé/obfuscation de chaîne différente, une implémentation de l’attaque par force brute et des techniques anti-analyse. VenomLNK est un fichier de raccourci Windows probablement généré par une version plus récente du kit de construction VenomKit. Il utilise désormais un nouveau numéro de série de volume, un schéma d’exécution évolué, et seulement le chemin local vers l’invite de commande Windows. Et la porte dérobée more_eggs inclut désormais un délai minimal avant d’exécuter ou de réessayer une action, et nettoie la mémoire après l’avoir utilisée.

Nouvelle chasse aux menaces par la communauté Sigma par Osman Demir aide à détecter les outils mis à jour qui font partie du MaaS de Golden Chickens : https://tdm.socprime.com/tdm/info/9qsYmDO3UnAK/8tPCj3MBQAH5UgbBiEhf/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tactiques : Exécution, Évasion de la défense, Persistance, Escalade de privilèges

Techniques : Regsvr32 (T1117), Tâche planifiée (T1053), Exécution par l’utilisateur (T1204)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement Planifier une réunion

More Dernières Menaces Articles

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore

Fév 11/2025 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Zahorulko

Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes

Fév 5/2025 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Zahorulko

Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants

Jan 31/2025 5 min de lecture Dernières Menaces Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants by Veronika Zahorulko