Contenuto di Threat Hunting: Rilevamento Multiplo HawkEye

Iniziamo la settimana con una nuova regola di Emir Erdogan – HawkEye Multiple Detection (Campagna di Phishing a Tema Covid19). Questo malware è noto anche come Predator Pain e ruba una varietà di informazioni sensibili dal sistema infetto, tra cui informazioni sul portafoglio bitcoin e credenziali di browser e client di posta. Lo stealer è in grado di fare screenshot e può agire come un keylogger. Il malware è distribuito dal 2013, è disponibile come servizio nel dark web e i suoi autori coinvolgono i loro clienti nella rivendita del malware. Grazie a questa attività, quasi ogni giorno nuovi campioni di HawkEye infostealer vengono caricati su any.run. Di solito viene utilizzato all’inizio di un attacco per raccogliere informazioni e credenziali prima di installare altri strumenti, specialmente da quando è stata scoperta una funzione di downloader nei campioni recentemente scoperti.

Una regola di Emir Erdogan scopre varianti di HawkEye distribuite tramite email di phishing a tema COVID-19 indirizzate a più organizzazioni nel settore sanitario. Il responsabile di questa campagna non può essere determinato, ma i ricercatori di sicurezza di Anomali credono che mostrino un livello di sofisticazione moderato.

https://tdm.socprime.com/tdm/info/PI3uYeozxMLb/sCEcGHIBjwDfaYjKTYKZ/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black

MITRE ATT&CK:

Tattiche: Esecuzione, Persistenza, Escalation dei Privilegi, Elusione della Difesa

Tecniche: Iniezione di Processo (T1055), Attività Pianificata (T1053), Imballaggio Software (T1045)

Vogliamo anche attirare la vostra attenzione sulla regola della comunità aggiornata di Joseph Kamau, un altro partecipante del Threat Bounty Program che rileva questa famiglia di malware: https://tdm.socprime.com/tdm/info/UfASCTRThrpD/ucL5um0BEiSx7l0HUYUP/

Altre regole correlate:

Rilevatore di keylogger Hawkeye di Lee Archinal – https://tdm.socprime.com/tdm/info/vQ4U4oKDynbo/ss22ImsBohFCZEpaTLaW/

Malware di HawkEye – Truffa del Coronavirus (rilevamento Sysmon) di Ariel Millahuel – https://tdm.socprime.com/tdm/info/VuI07TPn1F2J/AbHIBnEBqweaiPYISiu3/

Hawkeye Strain da Lista d’Acquisto PDF (Comportamento Sysmon)(19-Marzo-2020) di Lee Archinal – https://tdm.socprime.com/tdm/info/G8ZfXLdGYn0Q/i7FZ93ABqweaiPYIJiTQ/