Regola IOC: Trojan Bancario Grandoreiro

Ultime Minacce

Maggio 06, 2020

3 min di lettura

Regola IOC: Trojan Bancario Grandoreiro

Eugene Tkachenko
Eugene Tkachenko Responsabile Programma Comunitario linkedin icon Segui

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

Un articolo pubblicato di recente “SIGMA vs Indicatori di Compromissione” di Adam Swan, il nostro Ingegnere Senior di Threat Hunting, dimostra i benefici delle regole Sigma per la caccia alle minacce rispetto ai contenuti basati su IOC. Anche se non possiamo trascurare le regole Sigma IOC, poichĂ© possono aiutare a identificare un fatto di compromissione, inoltre, non tutti gli avversari modificano rapidamente il loro malware, e quindi tali regole possono rilevare una minaccia per molto tempo. Oggi esaminiamo una di queste regole – Banking Trojan Grandoreiro di Emir Erdogan: https://tdm.socprime.com/tdm/info/oNvknYovxCIF/CglI33EBAq_xcQY4Rvvc/?p=1

Grandoreiro è uno dei molti trojan bancari utilizzati contro obiettivi in America Latina. Il primo accenno a questo malware è apparso nel 2017 quando gli aggressori lo distribuivano solo in PerĂą e Brasile, ma presto i criminali informatici hanno ampliato la geografia degli attacchi, aggiungendo la Spagna e il Messico alla lista degli obiettivi. Il trojan Grandoreiro viene distribuito tramite e-mail di spam contenenti un link a un sito web che offre aggiornamenti Java o Flash falsi. Dall’inizio della pandemia, gli aggressori hanno utilizzato attivamente la paura intorno al COVID-19 nelle loro campagne.

 

La rilevazione delle minacce è supportata per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Esecuzione, Escalation dei Privilegi, Evasione delle Difese, Persistenza

Tecniche: Esecuzione tramite Caricamento del Modulo (T1129), Iniezione di Processo (T1055), Chiavi di Registro Run / Cartella di Avvio (T1060)

 

Il trojan abusa di MsiExec.exe e offriamo diverse regole per rilevare tale comportamento:

Directory MsiExec sospetta di Florian Roth – https://tdm.socprime.com/tdm/info/sPtJr5zlR7VX/4MWfiW4BUORkfSQhFWEb/

Installazione Web di MsiExec di Florian Roth – https://tdm.socprime.com/tdm/info/T5M5JJ1YfyiQ/H8JNRW4BEiSx7l0HQ_Nn/

LOLBAS msiexec (via cmdline) di Steven Carter – https://tdm.socprime.com/tdm/info/dmhwrenaVeXE/xcWI1W4BUORkfSQhaZkh/

Bypass di Msiexec.exe e Mavinject.exe (LolBins) di Ariel Millahuel – https://tdm.socprime.com/tdm/info/ZcbZs2X4rVua/oUJjp24ByU4WBiCt_kFv/

Manipolazione di Msiexec per stabilire la comunicazione con un server c2 di Ariel Millahuel – https://tdm.socprime.com/tdm/info/89tMxuOXpDmC/_cp_C3ABTfY1LRoXM8hW/

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilitĂ  sulle minacce piĂą rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Ultime Minacce Articles

Rilevamento delle AttivitĂ  del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle VulnerabilitĂ  Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle AttivitĂ  del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle VulnerabilitĂ  Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Zahorulko Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilitĂ  Zero-Day in 7-Zip per attaccare organizzazioni ucraine 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilitĂ  Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Zahorulko Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware 4 min di lettura Ultime Minacce Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware by Veronika Zahorulko