脅威ハンティングコンテンツ:HawkEye マルチ検出

[post-views]
5月 18, 2020 · 4 分で読めます
脅威ハンティングコンテンツ:HawkEye マルチ検出

今週はEmir Erdoganによる新しいルール、HawkEye Multiple Detection (Covid19テーマのフィッシングキャンペーン) で始まります。このマルウェアはPredator Painとしても知られ、感染したシステムからビットコインウォレット情報やブラウザやメールクライアントの資格情報を含む様々な機密情報を盗みます。この情報窃取ツールはスクリーンショットを撮ることができ、キーロガーとしても機能します。マルウェアは2013年から配布されており、ダークウェブでサービスとして利用可能で、その作者たちは顧客にマルウェアの再販を関与させます。この活動のおかげで、ほぼ毎日新しいHawkEyeインフォスティーラーのサンプルがアップロードされています。 any.run。通常、攻撃の初期段階で使用され、他のツールをインストールする前に情報や資格情報を収集します。特にダウンローダー機能が 発見されました 最近発見されたサンプルで。

Emir Erdoganによるルールは、 COVID-19をテーマにしたフィッシングメール を通じて配布されるHawkEyeの変異株を発見します。このキャンペーンの背後にいる脅威アクターは特定できませんが、Anomaliのセキュリティ研究者は、 信じています それらは中程度の手の込んだ方法を示していることを。

https://tdm.socprime.com/tdm/info/PI3uYeozxMLb/sCEcGHIBjwDfaYjKTYKZ/?p=1

 

ルールは以下のプラットフォーム用に翻訳されています:

SIEM: ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black

 

MITRE ATT&CK: 

戦術: 実行, 持続, 特権昇格, 防御回避

技術: プロセスインジェクション (T1055), スケジュールタスク (T1053), ソフトウェアパッキング (T1045)

 

また、Joseph Kamauによる更新されたコミュニティルールにも注目してください。これは、 Threat Bounty Program のもう一人の参加者によってこのマルウェアファミリーを検出します: https://tdm.socprime.com/tdm/info/UfASCTRThrpD/ucL5um0BEiSx7l0HUYUP/

関連するその他のルール:

Lee ArchinalによるHawkeyeキーガード検出 – https://tdm.socprime.com/tdm/info/vQ4U4oKDynbo/ss22ImsBohFCZEpaTLaW/

Ariel MillahuelによるHawkEyeマルウェア – コロナウイルス詐欺 (Sysmon検出) – https://tdm.socprime.com/tdm/info/VuI07TPn1F2J/AbHIBnEBqweaiPYISiu3/

Lee Archinalによる購入リストPDFからのHawkeye Strain (Sysmon挙動) (2020年3月19日) – https://tdm.socprime.com/tdm/info/G8ZfXLdGYn0Q/i7FZ93ABqweaiPYIJiTQ/

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。