IOC Sigma: Attività del Gruppo APT GreenBug

[post-views]
Maggio 26, 2020 · 2 min di lettura
IOC Sigma: Attività del Gruppo APT GreenBug

Greenbug APT è un’unità di cyber-spionaggio basata in Iran attiva almeno da giugno 2016. Il gruppo utilizza molto probabilmente attacchi di spear-phishing per compromettere le organizzazioni mirate. Gli avversari utilizzano più strumenti per compromettere altri sistemi nella rete dopo un compromesso iniziale e rubano nomi utente e password da sistemi operativi, account email e browser web. Nel 2017, le credenziali raccolte dal gruppo Greenbug sono state utilizzate in attacchi di un altro gruppo APT iraniano che distribuisce malware wiper Shamoon.

La loro nuova campagna è iniziata nell’aprile 2019 e è durata più di un anno prendendo di mira le compagnie di telecomunicazioni nel Sud Asia. Greenbug utilizza strumenti off-the-shelf e living-off-the-land, sembra che il gruppo sia interessato a ottenere l’accesso ai server di database: gli avversari rubano credenziali e poi le usano per testare la connettività a questi server. Il loro focus sul furto di credenziali e sull’instaurazione di connessioni con i server di database mostra che il gruppo mira a raggiungere un accesso di alto livello alla rete della vittima – un accesso che, se sfruttato, potrebbe causare disastri su una rete compromessa molto rapidamente. Questo livello di accesso, se sfruttato da attori che utilizzano malware distruttivi o ransomware, potrebbe chiudere l’intera rete di un’organizzazione molto velocemente.  

La nuova regola di Emir Erdogan rilasciata nel Threat Detection Marketplace aiuta a rilevare le attività dell’APT Greenbug e i loro tentativi di installare strumenti aggiuntivi: https://tdm.socprime.com/tdm/info/ZBEGEjbgCbwS/DYyQS3IB1-hfOQirPFQ4/?p=1



La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: CrowdStrike, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Esecuzione, Persistenza, Escalation dei Privilegi,

Tecniche: PowerShell (T1086), Profilo PowerShell (T1504), Attività Programmata (T1053), Web Shell (T1100)

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Accedi alla Funzionalità di Uncoder AI tramite API 2 min di lettura Piattaforma SOC Prime Accedi alla Funzionalità di Uncoder AI tramite API by Steven Edwards Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI 2 min di lettura Piattaforma SOC Prime Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI by Steven Edwards Tradurre da Sigma in 48 Lingue 2 min di lettura Piattaforma SOC Prime Tradurre da Sigma in 48 Lingue by Steven Edwards
Tutte le notizie