Contenuto di Threat Hunting: Rilevamento Multiplo HawkEye

[post-views]
Maggio 18, 2020 · 2 min di lettura
Contenuto di Threat Hunting: Rilevamento Multiplo HawkEye

Iniziamo la settimana con una nuova regola di Emir Erdogan – HawkEye Multiple Detection (Campagna di Phishing a Tema Covid19). Questo malware è noto anche come Predator Pain e ruba una varietà di informazioni sensibili dal sistema infetto, tra cui informazioni sul portafoglio bitcoin e credenziali di browser e client di posta. Lo stealer è in grado di fare screenshot e può agire come un keylogger. Il malware è distribuito dal 2013, è disponibile come servizio nel dark web e i suoi autori coinvolgono i loro clienti nella rivendita del malware. Grazie a questa attività, quasi ogni giorno nuovi campioni di HawkEye infostealer vengono caricati su any.run. Di solito viene utilizzato all’inizio di un attacco per raccogliere informazioni e credenziali prima di installare altri strumenti, specialmente da quando è stata scoperta una funzione di downloader nei campioni recentemente scoperti.

Una regola di Emir Erdogan scopre varianti di HawkEye distribuite tramite email di phishing a tema COVID-19 indirizzate a più organizzazioni nel settore sanitario. Il responsabile di questa campagna non può essere determinato, ma i ricercatori di sicurezza di Anomali credono che mostrino un livello di sofisticazione moderato.

https://tdm.socprime.com/tdm/info/PI3uYeozxMLb/sCEcGHIBjwDfaYjKTYKZ/?p=1

 

La regola ha traduzioni per le seguenti piattaforme:

SIEM: ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black

 

MITRE ATT&CK:

Tattiche: Esecuzione, Persistenza, Escalation dei Privilegi, Elusione della Difesa

Tecniche: Iniezione di Processo (T1055), Attività Pianificata (T1053), Imballaggio Software (T1045)

 

Vogliamo anche attirare la vostra attenzione sulla regola della comunità aggiornata di Joseph Kamau, un altro partecipante del Threat Bounty Program che rileva questa famiglia di malware: https://tdm.socprime.com/tdm/info/UfASCTRThrpD/ucL5um0BEiSx7l0HUYUP/

Altre regole correlate:

Rilevatore di keylogger Hawkeye di Lee Archinal – https://tdm.socprime.com/tdm/info/vQ4U4oKDynbo/ss22ImsBohFCZEpaTLaW/

Malware di HawkEye – Truffa del Coronavirus (rilevamento Sysmon) di Ariel Millahuel – https://tdm.socprime.com/tdm/info/VuI07TPn1F2J/AbHIBnEBqweaiPYISiu3/

Hawkeye Strain da Lista d’Acquisto PDF (Comportamento Sysmon)(19-Marzo-2020) di Lee Archinal – https://tdm.socprime.com/tdm/info/G8ZfXLdGYn0Q/i7FZ93ABqweaiPYIJiTQ/

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.