Regola Sigma: Gruppo di Hacker Outlaw

Il SOC Prime Team ha rilasciato una nuova regola Sigma basata su IoC che può rilevare i noti indicatori del gruppo di hacker Outlaw.

Controlla il link per visualizzare le traduzioni disponibili su Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/yyiW6rvv5a00/JiEBzHEBjwDfaYjKqEwv/

Inoltre, puoi usare Uncoder per convertire la regola Sigma in un numero di piattaforme supportate senza accesso al tuo ambiente SIEM. Recentemente abbiamo aggiunto il supporto per nuove piattaforme in modo che più aziende possano utilizzare questo strumento gratuito.

Dopo una rapida ascesa in popolarità nel 2018, i coinminer stanno ora vivendo un significativo declino di interesse da parte dei criminali informatici. Principalmente, i centri abbondano del fatto che solo pochi attori di minacce sono riusciti a ottenere guadagni significativi, e pochissimi di essi continuano campagne su larga scala. Uno degli attori di minacce che ha campagne in corso è il gruppo di hacker Outlaw, attivo dal 2018, ma gli esperti di cybersecurity ancora non sanno molto su questo gruppo. Inizialmente, i criminali informatici hanno infettato dispositivi IoT e server Linux per minare criptovaluta Monero. Nel 2019, il gruppo ha aggiornato il suo botnet per consentirgli di eseguire attacchi DDoS, la maggior parte degli obiettivi del gruppo era situata in Cina.

Il prossimo aumento di attività del gruppo di hacker Outlaw è iniziato a dicembre dell’anno scorso. Ancora una volta, gli attaccanti hanno modificato il loro botnet e i loro attacchi sono diventati più mirati alle imprese. La nuova campagna prende di mira dispositivi in Europa e negli Stati Uniti, i criminali informatici sono interessati a società con sistemi esposti a Internet con monitoraggio del traffico e delle attività debole o assente, e imprese che devono ancora aggiornare i loro sistemi. Oltre alla funzione di mining di criptovaluta, il botnet ora ha una serie di strumenti per il furto di dati e tecniche di evasione migliorate per le attività di scansione.

azione: globale
titolo: Outlaw Hacking Gruppo (IoC)
descrizione: Outlaw hacking gruppo indicatore of compromesso.
stato: stabile
autore: SOC Prime Team
tag:
– attacco.command_and_control
– attacco.t1071
– attacco.t1043
livello: alto
—
fonte log:
  categoria: dns
rilevamento:
  selezione:
    query: “debian-package.center”
  condizione: selezione
—
fonte log:
  categoria: firewall
rilevamento:
  selezione:
    dst_ip:
    – “45.9.148.125”
    – “45.9.148.129”
    – “45.9.148.99”
  condizione: selezione
—
fonte log:
  categoria: proxy
rilevamento:
  selezione:
    cs-host:
    – “debian-package.center”
    – “45.9.148.125”
    – “45.9.148.129”
    – “45.9.148.99”
  selezione2:
    r-dns:
    – “debian-package.center”
  condizione: selezione or selezione2 

Una precedente regola Sigma della comunità pubblicata sul nostro blog ha aiutato a rilevare la campagna malware Asnarok mirata ai Sophos XG Firewall: https://socprime.com/blog/sigma-rule-sophos-firewall-asnarok-malware-campaign/