IOC 시그마: GreenBug APT 그룹 활동

Greenbug APT는 적어도 2016년 6월부터 활동해 온 이란 기반의 사이버 첩보 유닛입니다. 이 그룹은 아마도 스피어 피싱 공격을 사용하여 표적 조직을 타겟팅하고 있을 가능성이 높습니다. 적들은 초기 침해 이후 네트워크의 다른 시스템을 침해하고 운영 체제, 이메일 계정 및 웹 브라우저에서 사용자 이름과 비밀번호를 훔치기 위해 여러 도구를 사용합니다. 2017년, Greenbug 그룹이 수집한 자격 증명은 파괴적인 Shamoon 와이퍼 악성코드를 배포하는 또 다른 이란 APT 그룹의 공격에 사용되었습니다..

그들의 새로운 캠페인은 2019년 4월에 시작되어 1년 넘게 남아시아의 통신 회사를 타겟팅했습니다. Greenbug는 상용화된 도구와 Living-off-the-land 도구를 사용하며, 데이터베이스 서버에 접근하는 것에 관심이 있는 것으로 보입니다: 공격자는 자격 증명을 훔쳐 이를 테스트하여 서버의 연결성을 확인합니다. 자격 증명 도용과 데이터베이스 서버 연결 수립에 대한 집중은 이 그룹이 피해자의 네트워크에 높은 수준의 접근을 달성하려는 목표를 가리킵니다 – 이러한 접근은 악용될 경우 손상된 네트워크에 매우 빠르게 큰 혼란을 초래할 수 있습니다. 이 수준의 접근은 파괴적인 악성코드나 랜섬웨어를 사용하는 행위자들에게 이용될 경우, 조직 전체의 네트워크를 매우 빠르게 중단시킬 수 있습니다.  

Emir Erdogan에 의해 새로이 발표된 규칙은 Threat Detection Marketplace에서 Greenbug APT의 활동과 추가 도구 설치 시도를 탐지하는 데 도움을 줍니다: https://tdm.socprime.com/tdm/info/ZBEGEjbgCbwS/DYyQS3IB1-hfOQirPFQ4/?p=1

규칙은 다음 플랫폼에 대한 번역이 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: CrowdStrike, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행, 지속성, 권한 상승,

기술: PowerShell (T1086), PowerShell Profile (T1504), Scheduled Task (T1053), Web Shell (T1100)