IOC Sigma: Attività del Gruppo APT GreenBug

Ultime Minacce

Maggio 26, 2020

2 min di lettura

IOC Sigma: Attività del Gruppo APT GreenBug

Eugene Tkachenko
Eugene Tkachenko Responsabile Programma Comunitario linkedin icon Segui

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

Greenbug APT è un’unità di cyber-spionaggio basata in Iran attiva almeno da giugno 2016. Il gruppo utilizza molto probabilmente attacchi di spear-phishing per compromettere le organizzazioni mirate. Gli avversari utilizzano più strumenti per compromettere altri sistemi nella rete dopo un compromesso iniziale e rubano nomi utente e password da sistemi operativi, account email e browser web. Nel 2017, le credenziali raccolte dal gruppo Greenbug sono state utilizzate in attacchi di un altro gruppo APT iraniano che distribuisce malware wiper Shamoon.

La loro nuova campagna è iniziata nell’aprile 2019 e è durata più di un anno prendendo di mira le compagnie di telecomunicazioni nel Sud Asia. Greenbug utilizza strumenti off-the-shelf e living-off-the-land, sembra che il gruppo sia interessato a ottenere l’accesso ai server di database: gli avversari rubano credenziali e poi le usano per testare la connettività a questi server. Il loro focus sul furto di credenziali e sull’instaurazione di connessioni con i server di database mostra che il gruppo mira a raggiungere un accesso di alto livello alla rete della vittima – un accesso che, se sfruttato, potrebbe causare disastri su una rete compromessa molto rapidamente. Questo livello di accesso, se sfruttato da attori che utilizzano malware distruttivi o ransomware, potrebbe chiudere l’intera rete di un’organizzazione molto velocemente.  

La nuova regola di Emir Erdogan rilasciata nel Threat Detection Marketplace aiuta a rilevare le attività dell’APT Greenbug e i loro tentativi di installare strumenti aggiuntivi: https://tdm.socprime.com/tdm/info/ZBEGEjbgCbwS/DYyQS3IB1-hfOQirPFQ4/?p=1



La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: CrowdStrike, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Esecuzione, Persistenza, Escalation dei Privilegi,

Tecniche: PowerShell (T1086), Profilo PowerShell (T1504), Attività Programmata (T1053), Web Shell (T1100)

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Ultime Minacce Articles

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Zahorulko Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Zahorulko Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware 4 min di lettura Ultime Minacce Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware by Veronika Zahorulko