今週はEmir Erdoganによる新しいルール、HawkEye Multiple Detection (Covid19テーマのフィッシングキャンペーン) で始まります。このマルウェアはPredator Painとしても知られ、感染したシステムからビットコインウォレット情報やブラウザやメールクライアントの資格情報を含む様々な機密情報を盗みます。この情報窃取ツールはスクリーンショットを撮ることができ、キーロガーとしても機能します。マルウェアは2013年から配布されており、ダークウェブでサービスとして利用可能で、その作者たちは顧客にマルウェアの再販を関与させます。この活動のおかげで、ほぼ毎日新しいHawkEyeインフォスティーラーのサンプルがアップロードされています。 any.run。通常、攻撃の初期段階で使用され、他のツールをインストールする前に情報や資格情報を収集します。特にダウンローダー機能が 発見されました 最近発見されたサンプルで。
Emir Erdoganによるルールは、 COVID-19をテーマにしたフィッシングメール を通じて配布されるHawkEyeの変異株を発見します。このキャンペーンの背後にいる脅威アクターは特定できませんが、Anomaliのセキュリティ研究者は、 信じています それらは中程度の手の込んだ方法を示していることを。
https://tdm.socprime.com/tdm/info/PI3uYeozxMLb/sCEcGHIBjwDfaYjKTYKZ/?p=1
ルールは以下のプラットフォーム用に翻訳されています:
SIEM: ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black
MITRE ATT&CK:
戦術: 実行, 持続, 特権昇格, 防御回避
技術: プロセスインジェクション (T1055), スケジュールタスク (T1053), ソフトウェアパッキング (T1045)
また、Joseph Kamauによる更新されたコミュニティルールにも注目してください。これは、 Threat Bounty Program のもう一人の参加者によってこのマルウェアファミリーを検出します: https://tdm.socprime.com/tdm/info/UfASCTRThrpD/ucL5um0BEiSx7l0HUYUP/
関連するその他のルール:
Lee ArchinalによるHawkeyeキーガード検出 – https://tdm.socprime.com/tdm/info/vQ4U4oKDynbo/ss22ImsBohFCZEpaTLaW/
Ariel MillahuelによるHawkEyeマルウェア – コロナウイルス詐欺 (Sysmon検出) – https://tdm.socprime.com/tdm/info/VuI07TPn1F2J/AbHIBnEBqweaiPYISiu3/
Lee Archinalによる購入リストPDFからのHawkeye Strain (Sysmon挙動) (2020年3月19日) – https://tdm.socprime.com/tdm/info/G8ZfXLdGYn0Q/i7FZ93ABqweaiPYIJiTQ/
