シグマルール: アウトロー ハッキンググループ

SOC Primeチームは、IOCsに基づく新しいSigmaルールをリリースしました。このルールは、アウトロー・ハッキンググループの既知のインジケーターを検出することができます。

リンクを確認して、Threat Detection Marketplaceで利用可能な翻訳を確認してください: https://tdm.socprime.com/tdm/info/yyiW6rvv5a00/JiEBzHEBjwDfaYjKqEwv/

また、 Uncoder を使用して、SIEM環境にアクセスせずに、Sigmaルールをサポートされている複数のプラットフォームに変換することができます。最近、新しいプラットフォームのサポートを追加したため、より多くの企業がこの無料ツールを利用できるようになりました。

2018年の人気急上昇の後、コインマイナーは現在、サイバー犯罪者からの関心が大幅に低下しています。主に、わずか数社の脅威アクターだけが大きな利益を得ており、その中でも大規模キャンペーンを続けているものは非常に少ないことが関係しています。継続的にキャンペーンを行っている脅威アクターの1つが、アウトロー・ハッキンググループであり、 2018年から活動を続けていますが、サイバーセキュリティの専門家はこのグループについてまだ多くを知らない。最初は、サイバー犯罪者はIoTデバイスとLinuxサーバーを感染させて、Monero仮想通貨をマイニングしていました。 2019年には、グループはボットネットを更新し、DDoS攻撃を行えるようにしました。グループのターゲットの大部分は中国に位置していました。

アウトロー・ハッキンググループの次の活動の急増は昨年の12月に始まりました。再び、攻撃者は ボットネットを修正し 、攻撃は企業を対象としたものになりました。新しいキャンペーンはヨーロッパとアメリカのデバイスをターゲットにしており、サイバー犯罪者はインターネットに接続しているシステムでトラフィックとアクティビティの監視が不十分な企業や、システムのパッチをまだ適用していない企業に関心を持っています。仮想通貨マイニング機能に加え、ボットネットは現在、データ盗難のためのツールセットと、活動スキャンを回避するための技術を備えています。

action: global
title: アウトロー ハッキング グループ (IOCs)
description: アウトロー ハッキング グループ インジケーター of 妥協の。
status: 安定
author: SOC プライム チーム
tags:
– attack.command_and_control
– attack.t1071
– attack.t1043
レベル: 高い
—
logsource:
  カテゴリ: dns
detection:
  選択:
    query: “debian-package.center”
  条件: 選択
—
logsource:
  category: ファイアウォール
detection:
  selection:
    dst_ip:
    – “45.9.148.125”
    – “45.9.148.129”
    – “45.9.148.99”
  条件: 選択
—
logsource:
  category: プロキシ
detection:
  selection:
    cs-host:
    – “debian-package.center”
    – “45.9.148.125”
    – “45.9.148.129”
    – “45.9.148.99”
  selection2:
    r-dns:
    – “debian-package.center”
  条件: 選択 or selection2 

以前、当ブログで発表されたコミュニティSigmaルールは、SophosのXGファイアウォールをターゲットにしたAsnarokマルウェアキャンペーンを検出するのに役立ちました: https://socprime.com/blog/sigma-rule-sophos-firewall-asnarok-malware-campaign/