Regole per il Threat Hunting: Golden Chickens MaaS

[post-views]
Luglio 28, 2020 · 2 min di lettura
Regole per il Threat Hunting: Golden Chickens MaaS

Come sapete, il Malware-as-a-Service (MaaS) è un business che è già diventato comune e opera sui forum clandestini e mercati neri offrendo una gamma di servizi. I primi attacchi che utilizzavano il MaaS di Golden Chickens sono iniziati nel 2017, e il gruppo Cobalt è stato tra i loro primi “clienti”. Il successo di questo progetto si basa fortemente su strumenti e servizi specifici, che forniscono ai clienti il malware e l’infrastruttura di cui hanno bisogno per attacchi mirati. 

Questa primavera, gli autori di malware hanno nuovamente migliorato TerraLoader, VenomLNK e more_eggs, e diversi attori di minacce hanno già sfruttato la funzionalità aggiornata. TerraLoader è un caricatore multiuso scritto in PureBasic, la sua nuova variante utilizza diversi metodi di de/offuscamento delle stringhe, implementazione di forza bruta e tecniche anti-analisi. VenomLNK è un file di scorciatoia di Windows probabilmente generato da una versione più recente del kit di costruzione VenomKit. Ora utilizza un nuovo numero seriale del volume, uno schema di esecuzione evoluto, e solo il percorso locale al prompt dei comandi di Windows. E il backdoor more_eggs ora include un ritardo minimo prima di eseguire o riprovare un’azione, e pulisce la memoria dopo l’uso.

Nuova minaccia della comunità Sigma di Osman Demir aiuta a rilevare gli strumenti aggiornati che fanno parte del MaaS di Golden Chickens: https://tdm.socprime.com/tdm/info/9qsYmDO3UnAK/8tPCj3MBQAH5UgbBiEhf/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Esecuzione, Elusione della Difesa, Persistenza, Escalation dei Privilegi

Tecniche: Regsvr32 (T1117), Task Schedulato (T1053), Esecuzione Utente (T1204)

 

Pronto a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.