脅威ハンティングルール: Gamaredonグループの行動

Gamaredonグループは2013年に登場し、最初はカスタムマルウェアを使用していませんでしたが、時間の経過とともに、Pterodoや EvilGnome マルウェアを含むサイバースパイツールを多数開発しました。最近数ヶ月、グループは積極的に フィッシングメールを送信し 、さまざまなマルウェアバリアントをダウンロードする悪意のあるマクロを含むドキュメントを送付しています。Gamaredonグループは、攻撃されたシステムから機密データを収集し、侵害された組織のネットワークにマルウェアを拡散させるように設計された、異なるプログラミング言語で書かれた非常に単純なツールを使用しています。 

ほとんどの国家支援のサイバースパイユニットとは異なり、Gamaredonグループは、追加のマルウェアをダウンロードして展開することができる「ノイジー」なツールを使用することに躊躇しません。通常、この脅威アクターは、セキュリティ部門がインシデントを検出して対応する前に、できるだけ多くのシステムに感染させ、機密ファイルをできるだけ迅速に盗むことを試みます。したがって、グループツールを迅速に発見することが重要であり、 Ariel Millahuel がリリースしたコミュニティの脅威ハンティングルールを使用して、Gamaredonグループの行動を明らかにし、機密データが漏洩する前にその活動を停止することができます。 https://tdm.socprime.com/tdm/info/2pyW5Obof5YW/1QlL7HMBSh4W_EKGSZ86/?p=1

このルールは、次のプラットフォームに対応しています：

SIEM：Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR：Carbon Black, Microsoft Defender ATP, Elastic Endpoint

MITRE ATT&CK: 

戦術： 永続性

技術：オフィスアプリケーション起動(T1137)

SOC Prime TDMを試してみますか？ 無料でサインアップしてください。または Threat Bounty Programに参加 して、自分のコンテンツを作成し、それをTDMコミュニティと共有しましょう。