Digest delle Regole: Gruppi APT, Campagne Malware e Telemetria di Windows

[post-views]
Giugno 13, 2020 · 6 min di lettura
Digest delle Regole: Gruppi APT, Campagne Malware e Telemetria di Windows

Questa settimana il nostro Rule Digest copre più contenuti del solito. Compila regole per rilevare recenti attacchi di attori sponsorizzati dallo Stato, campagne di malware condotte da cybercriminali e abuso della telemetria di Windows.

 

Mustang Panda è il gruppo di minaccia basato in Cina che ha dimostrato la capacità di assimilare rapidamente nuovi strumenti e tattiche nelle sue operazioni. Questo gruppo APT prende di mira le organizzazioni non governative in generale, e gli avversari usano spesso malware condivisi come Poison Ivy o PlugX nelle loro campagne. Possono usare serie di reindirizzamenti e implementazioni dannose senza file di strumenti legittimi per ottenere accesso ai sistemi mirati e riutilizzare domini legittimi precedentemente osservati per ospitare file. 

La regola di Ariel Millahuel scopre le attività dell’Attore di Minaccia relative all’utilizzo della tecnica DLL-Sideload (con un binario legittimo) e il deploy del Trojan PlugX.

Possibile nuova attività di Mustang Panda (tramite Trojan PlugX)

https://tdm.socprime.com/tdm/info/QjFFiT08pnJW/MT-inXIBQAH5UgbBgP0n/?p=1

Altre regole per rilevare il Trojan PlugX su Threat Detection Marketplace

 

Il malware Lookback è stato utilizzato per la prima volta in una campagna di spear-phishing mirata a aziende statunitensi nel settore delle utilità. Dopo l’esposizione, invece di fermare la campagna, gli operatori del trojan LookBack hanno cambiato il testo delle email di phishing e hanno continuato ad attaccare le organizzazioni. All’inizio, questi attacchi sono stati collegati all’unità di cyber-spionaggio cinese, ma ulteriori osservazioni delle campagne hanno permesso ai ricercatori di suggerire che la somiglianza nei TTP potrebbe essere utilizzata dagli attaccanti come falsa bandiera per complicare l’attribuzione. Contemporaneamente alle campagne LookBack, i ricercatori di Proofpoint hanno identificato una nuova famiglia di malware aggiuntiva chiamata FlowCloud che veniva consegnata anche ai fornitori di servizi di utilità degli Stati Uniti. Il malware dà agli attori di minaccia il controllo completo su una macchina infetta. La sua funzionalità include la possibilità di accedere alle applicazioni installate, alla tastiera, al mouse, allo schermo, ai file, ai servizi e ai processi con la capacità di esfiltrare informazioni tramite comando e controllo. La regola comunitaria di Den Iuzvik rileva le caratteristiche del Gruppo TA410 nelle campagne di malware LookBack e FlowCloud.

Campagne di malware LookBack e FlowCloud di TA410 (Comportamento Sysmon)

https://tdm.socprime.com/tdm/info/lKou8ugtwy5L/yzzGnXIBSh4W_EKGDORm/?p=1

 

Charming Kitten è un’unità di cyber-spionaggio iraniana che è stata attiva approssimativamente dal 2014 obiettivo di organizzazioni coinvolte nei settori governativo, tecnologico della difesa, militare e diplomatico. La maggior parte dei loro obiettivi si trovava in Iran, Stati Uniti, Israele e Regno Unito. Charming Kitten cerca solitamente di accedere a email private e account Facebook, e talvolta stabilisce un punto d’appoggio sui computer delle vittime come obiettivo secondario. Durante gli attacchi, il gruppo APT utilizza spesso il backdoor Trojan DownPaper, la cui funzione principale è di scaricare ed eseguire un malware di fase successiva. Questa settimana Lee Archinal ha rilasciato una serie di regole per rilevare il backdoor DownPaper:

Creazione di File Downpaper di Charming Kitten (Comportamento Sysmon)

https://tdm.socprime.com/tdm/info/rIyO0HQ4tjGE/sDzJnXIBSh4W_EKGU-YE/?p=1

Processo di Downpaper di Charming Kitten Eseguito (Linea di Comando) (Comportamento Sysmon)

https://tdm.socprime.com/tdm/info/v1Zxyz8gOqYU/7WfPnXIBPeJ4_8xc_3Sw/?p=1

Processo di Downpaper di Charming Kitten Eseguito (Powershell) (Comportamento Sysmon)

https://tdm.socprime.com/tdm/info/Skcb5qUnFq8K/fkDOnXIBQAH5UgbBZxat/?p=1

Modifica del Registro di Downpaper di Charming Kitten (Comportamento Sysmon)

https://tdm.socprime.com/tdm/info/2QPnCf4lqAf0/iTzMnXIBSh4W_EKGU-jZ/?p=1

 


Più avanti nel nostro riepilogo un paio di regole che rilevano l’abuso della telemetria di Windows per la persistenza che colpisce le macchine Windows dal 2008R2/Windows 7 al 2019/Windows 10. Le regole comunitarie sono state presentate da Den Iuzvik e possono essere utilizzate per scoprire l’abuso di CompatTelRunner.exe per la persistenza. Possono anche aiutare a rilevare azioni di attori di minaccia avanzati che hanno già penetrato il sistema e stanno cercando di elevare i privilegi al livello di Sistema.

Abuso della telemetria di Windows CompatTelRunner.exe (Comportamento Sysmon)  https://tdm.socprime.com/tdm/info/BOLaiaKu9Fpr/NUDUnXIBQAH5UgbB9hop/?p=1

Abuso della telemetria di Windows CompatTelRunner.exe (Regola di Audit)

https://tdm.socprime.com/tdm/info/0ZXi5CE8Zkwb/REDWnXIBQAH5UgbBoBvd/?p=1

Rilasceremo anche una regola comunitaria di Sreeman Shanker che scopre anche questo modo per raggiungere la persistenza 

 

Valak è un malware sofisticato che è stato osservato per la prima volta alla fine del 2019. Può essere usato indipendentemente come un ladro di informazioni per colpire individui ed imprese. Le versioni recenti di Valak mirano ai server Microsoft Exchange per rubare informazioni di posta aziendale e password insieme al certificato aziendale. Può dirottare le risposte email e incorporare URL o allegati dannosi per infettare i dispositivi con script senza file. Le campagne scoperte erano specificamente mirate a imprese negli Stati Uniti e in Germania. La nuova regola di Osman Demir mira a individuare questa minaccia nella rete aziendale.

Valak Malware e la Connessione a Gozi Loader ConfCrew

https://tdm.socprime.com/tdm/info/1rwi3PwN6Dya/wGoao3IBPeJ4_8xcH4Ii/?p=1

 

 

Le regole hanno traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Accesso Iniziale, Evasione Difese, Esecuzione, Persistenza, Escalation Privilegi, Comando e Controllo 

Tecniche: Allegato di Spearphishing (T1193), DLL Side-Loading (T1073), Chiavi di Avvio/Startup di Registro (T1060), Attività Pianificata (T1053), Modifica Registro (T1112), Interfaccia a Riga di Comando (T1059), PowerShell (T1086), Scripting (T1064), Porta Comunemente Usata (T1043), Timestomp (T1099)

 

Aspettate il prossimo digest tra una settimana, e non dimenticate di registrarvi a Discorsi Settimanali su Notizie di Ultima Ora in Cybersecurity: https://my.socprime.com/en/weekly-talks/

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Tattica di Esecuzione | TA0002
Blog, Ultime Minacce — 7 min di lettura
Tattica di Esecuzione | TA0002
Daryna Olyniychuk
PyVil RAT del Gruppo Evilnum
Blog, Ultime Minacce — 2 min di lettura
PyVil RAT del Gruppo Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Ultime Minacce — 2 min di lettura
JSOutProx RAT
Eugene Tkachenko