IOCシグマ: GreenBug APTグループの活動

Greenbug APTは、2016年6月以降に活動を開始したイラン拠点のサイバースパイ活動部隊です。このグループは、おそらく標的組織を侵害するためにスピアフィッシング攻撃を使用しています。敵対者は、最初の侵害後、複数のツールを使用してネットワーク上の他のシステムを侵害し、オペレーティングシステム、電子メールアカウント、ウェブブラウザからユーザー名とパスワードを盗みます。2017年には、Greenbugグループによって収集された資格情報が、破壊的な「Shamoon」ワイパーマルウェアを配備する別のイランAPTグループの攻撃で使用されました。 Shamoonワイパーマルウェア.

彼らの 新しいキャンペーン は2019年4月に始まり、1年以上南アジアの通信会社を狙いました。Greenbugは、市販のツールと「living-off-the-land」ツールを使用しているようです。このグループはデータベースサーバーへのアクセスに興味を持っているようで、敵対者は資格情報を盗み出し、それを用いてこれらのサーバーへの接続をテストします。資格情報の盗みとデータベースサーバーとの接続を確立することへの注力は、このグループが被害者のネットワークに対して高レベルのアクセスを獲得することを目指していることを示しています。このアクセスレベルが破壊的なマルウェアやランサムウェアを使用する役者に活用された場合、組織のネットワーク全体を非常に素早く停止させる可能性があります。

新しいルールは、 エミール・エルドアン によってThreat Detection Marketplaceで公開され、Greenbug APTの活動と追加ツールのインストール試行を検出するのに役立ちます。 https://tdm.socprime.com/tdm/info/ZBEGEjbgCbwS/DYyQS3IB1-hfOQirPFQ4/?p=1

このルールには以下のプラットフォームのための翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: CrowdStrike, Carbon Black, Elastic Endpoint

MITRE ATT＆CK: 

戦術: 実行, 永続性, 特権昇格,

技術: PowerShell (T1086), PowerShellプロファイル (T1504), スケジュールされたタスク (T1053), ウェブシェル (T1100)