시그마 규칙: 아웃로우 해킹 그룹

SOC Prime 팀은 Outlaw 해킹 그룹의 알려진 지표를 탐지할 수 있는 IOC를 기반으로 한 새로운 Sigma 규칙을 발표했습니다.

Threat Detection Marketplace에서 사용 가능한 번역을 보려면 링크를 확인하세요: https://tdm.socprime.com/tdm/info/yyiW6rvv5a00/JiEBzHEBjwDfaYjKqEwv/

또한, 당신은 사용할 수 있습니다 Uncoder 를 사용하여 SIEM 환경에 접근하지 않고도 Sigma 규칙을 여러 지원 플랫폼으로 변환할 수 있습니다. 우리는 최근 더 많은 기업들이 이 무료 도구를 사용할 수 있도록 새로운 플랫폼 지원을 추가했습니다.

2018년 상대적으로 빠른 인기를 얻은 후, 코인마이너는 이제 사이버 범죄자로부터 관심이 크게 감소하고 있습니다. 주로 몇몇 위협 행위자들만이 상당한 이익을 얻고 있으며, 그들 중 매우 소수가 대규모 캠페인을 계속하고 있다는 점에 중점을 두고 있습니다. 지속적인 캠페인을 진행하고 있는 위협 행위자 중 하나는 Outlaw 해킹 그룹입니다. 이 그룹은 2018년부터활동하고 있지만, 사이버 보안 전문가들은 여전히 이 그룹에 대해 많은 것을 알지 못합니다. 처음에 사이버 범죄자들은 IoT 기기와 리눅스 서버를 감염시켜 모네로 암호화폐를 채굴했습니다. 2019년에, 그룹은 봇넷을 업데이트하여 DDoS 공격을 수행할 수 있게 했습니다. 이 그룹의 대부분의 목표는 중국에 위치해 있었습니다.

Outlaw 해킹 그룹의 활동에 대한 다음 급증은 작년 12월에 시작되었습니다. 다시 한 번 공격자들은 수정했습니다 그들의 봇넷을 수정하여 그들의 공격은 더 많은 기업을 목표로 하게 되었습니다. 새로운 캠페인은 유럽과 미국의 기기들을 목표로 하고 있으며, 사이버 범죄자들은 인터넷에 노출된 시스템을 가진 기업들, 트래픽과 활동을 거의 모니터링하지 않는 기업들, 그리고 시스템에 패치를 하지 않은 기업들에 관심을 두고 있습니다. 암호화폐 채굴 기능 외에도 봇넷에는 데이터 도난을 위한 도구 세트와 스캔 활동에 대한 향상된 회피 기술이 포함되었습니다.

action: global
title: Outlaw Hacking Group (IOCs)
description: Outlaw hacking group indicator of compromise.
status: stable
author: SOC Prime Team
tags:
– attack.command_and_control
– attack.t1071
– attack.t1043
level: high
—
logsource:
  category: dns
detection:
  selection:
    query: “debian-package.center”
  condition: selection
—
logsource:
  category: firewall
detection:
  selection:
    dst_ip:
    – “45.9.148.125”
    – “45.9.148.129”
    – “45.9.148.99”
  condition: selection
—
logsource:
  category: proxy
detection:
  selection:
    cs-host:
    – “debian-package.center”
    – “45.9.148.125”
    – “45.9.148.129”
    – “45.9.148.99”
  selection2:
    r-dns:
    – “debian-package.center”
  condition: selection or selection2 

우리 블로그에 게시된 이전 커뮤니티 Sigma 규칙은 Sophos XG 방화벽을 대상으로 하는 Asnarok 멀웨어 캠페인을 탐지하는 데 도움을 주었습니다: https://socprime.com/blog/sigma-rule-sophos-firewall-asnarok-malware-campaign/