Regole di Caccia alle Minacce: Comportamento del Gruppo Gamaredon

Il gruppo Gamaredon è apparso nel 2013 e inizialmente non utilizzava malware personalizzati, ma nel tempo ha sviluppato una serie di strumenti di cyber spionaggio, tra cui Pterodo e EvilGnome malware. Negli ultimi mesi, il gruppo è stato attivamente inviando email di phishing con documenti contenenti macro malevole che scaricano una moltitudine di varianti di malware diverse. Il gruppo Gamaredon utilizza strumenti molto semplici scritti in diversi linguaggi di programmazione progettati per raccogliere dati sensibili sui sistemi attaccati e per diffondere malware attraverso la rete dell’organizzazione compromessa. 

A differenza della maggior parte delle unità di cyber spionaggio sponsorizzate dallo stato, il gruppo Gamaredon non esita a utilizzare strumenti “rumorosi” in grado di scaricare e distribuire malware aggiuntivo che potrebbe essere molto più furtivo. Tipicamente, l’attore della minaccia cerca di infettare il maggior numero di sistemi possibile e rubare file confidenziali il più rapidamente possibile prima che il reparto IT Security rilevi e risponda a un incidente. Pertanto, scoprire rapidamente gli strumenti del gruppo è fondamentale e puoi utilizzare la regola di threat hunting comunitaria rilasciata da Ariel Millahuel per rilevare il comportamento del gruppo Gamaredon e fermare la loro attività prima che i dati sensibili vengano esfiltrati: https://tdm.socprime.com/tdm/info/2pyW5Obof5YW/1QlL7HMBSh4W_EKGSZ86/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Microsoft Defender ATP, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Persistenza

Tecniche: Avvio Applicazione Office (T1137)

Pronto a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la community TDM.