Greenbug APT è un’unità di cyber-spionaggio basata in Iran attiva almeno da giugno 2016. Il gruppo utilizza molto probabilmente attacchi di spear-phishing per compromettere le organizzazioni mirate. Gli avversari utilizzano più strumenti per compromettere altri sistemi nella rete dopo un compromesso iniziale e rubano nomi utente e password da sistemi operativi, account email e browser web. Nel 2017, le credenziali raccolte dal gruppo Greenbug sono state utilizzate in attacchi di un altro gruppo APT iraniano che distribuisce malware wiper Shamoon.
La loro nuova campagna è iniziata nell’aprile 2019 e è durata più di un anno prendendo di mira le compagnie di telecomunicazioni nel Sud Asia. Greenbug utilizza strumenti off-the-shelf e living-off-the-land, sembra che il gruppo sia interessato a ottenere l’accesso ai server di database: gli avversari rubano credenziali e poi le usano per testare la connettività a questi server. Il loro focus sul furto di credenziali e sull’instaurazione di connessioni con i server di database mostra che il gruppo mira a raggiungere un accesso di alto livello alla rete della vittima – un accesso che, se sfruttato, potrebbe causare disastri su una rete compromessa molto rapidamente. Questo livello di accesso, se sfruttato da attori che utilizzano malware distruttivi o ransomware, potrebbe chiudere l’intera rete di un’organizzazione molto velocemente.
La nuova regola di Emir Erdogan rilasciata nel Threat Detection Marketplace aiuta a rilevare le attività dell’APT Greenbug e i loro tentativi di installare strumenti aggiuntivi: https://tdm.socprime.com/tdm/info/ZBEGEjbgCbwS/DYyQS3IB1-hfOQirPFQ4/?p=1
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: CrowdStrike, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Esecuzione, Persistenza, Escalation dei Privilegi,
Tecniche: PowerShell (T1086), Profilo PowerShell (T1504), Attività Programmata (T1053), Web Shell (T1100)
