TA413에 의한 경제 스파이 활동 캠페인

COVID19 관련 유인물의 사용은 이미 재정 동기가 있는 그룹과 국가 지원 사이버 첩보 단위들 사이에서 일반적인 관행으로 인식되고 있습니다. 연구원들은 지난주 또 다른 그룹에 대한 보고서를 발표했으며, 이 그룹은 6개월 동안 COVID19 테마의 피싱 이메일을 사용하여 새로운 도구를 배포하고 있습니다. 네, 우리는 비영리 정책 연구 기관, 유럽 외교 및 입법 기관, 경제 문제를 다루는 글로벌 조직을 대상으로 한 경제 첩보 캠페인을 전문으로 하는 TA413으로 알려진 중국의 APT 그룹에 대해 말하고 있습니다.

적대자들은 Sepulcher라는 맞춤형 악성 코드를 사용하며, 현재까지 이것을 사용하는 유일한 위협 행위자이지만, 중국 그룹 사이에서 도구를 공유하는 광범위한 관행을 고려할 때보고서 가 발표된 후이 악성 코드는 다른 APT 그룹들의 무기고에도 나타날 수 있습니다. Sepulcher는 원격 액세스 트로이 목마로, 탐지 작업을 수행할 수 있습니다: 드라이브, 파일 정보, 디렉토리 통계, 디렉토리 경로, 디렉토리 내용, 실행 중인 프로세스 및 서비스에 대한 정보를 얻을 수 있습니다. 또한 디렉토리를 생성하고, 디렉토리 및 파일을 삭제하고, 명령을 실행하기 위해 쉘을 스폰하고, 프로세스를 종료하는 등의 기능을 갖추고 있습니다.

Osman Demir에 의해 발표된 위협 사냥 규칙은 TA413의 악성 활동과 사이버 첩보 캠페인에서 이 그룹에 의해 사용되는 Sepulcher 악성 코드를 탐지합니다: https://tdm.socprime.com/tdm/info/WE9tcCoWqy2c/NE07U3QBQAH5UgbBBk2p/?p=1

https://tdm.socprime.com/tdm/info/WE9tcCoWqy2c/NE07U3QBQAH5UgbBBk2p/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 초기 액세스, 지속성, 권한 상승

기술: 신규 서비스 (Е1050), 스피어 피싱 첨부 파일 (T1193)

SOC Prime TDM을 사용해 볼 준비가 되셨나요? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하세요 자신만의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.