위협 사냥 콘텐츠: HawkEye 다중 탐지

[post-views]
5월 18, 2020 · 2 분 읽기
위협 사냥 콘텐츠: HawkEye 다중 탐지

우리는 Emir Erdogan의 새로운 규칙으로 주를 시작합니다 – HawkEye Multiple Detection (Covid19 테마 피싱 캠페인). 이 악성코드는 Predator Pain으로도 알려져 있으며, 감염된 시스템에서 비트코인 지갑 정보와 브라우저 및 메일 클라이언트의 자격 증명을 포함한 다양한 민감 정보를 훔칩니다. 이 스틸러는 스크린샷을 찍을 수 있으며, 키로거로도 작동할 수 있습니다. 이 악성코드는 2013년부터 배포되고 있으며, 다크 웹에서 서비스로 제공되며, 저자들은 고객에게 이 악성코드를 재판매하도록 관여합니다. 이러한 활동 덕분에 거의 매일 새 로운 HawkEye 정보유출 스틸러 샘플이 업로드됩니다. any.run. 일반적으로 공격의 초기에 정보를 수집하고 자격 증명을 얻기 위해 사용되며, 특히 다운로드 기능이 발견된 최근에 발견된 샘플에서. 

Emir Erdogan의 규칙은 COVID-19 테마의 피싱 이메일 을 통해 배포되는 HawkEye 변종을 발견합니다. 이 캠페인의 위협 행위자는 알 수 없으나, Anomali의 보안 연구원들은 믿습니다 이들이 중간 수준의 정교함을 보여준다고.

https://tdm.socprime.com/tdm/info/PI3uYeozxMLb/sCEcGHIBjwDfaYjKTYKZ/?p=1

 

이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black

 

MITRE ATT&CK: 

전술: 실행, 지속성, 권한 상승, 방어 회피

기법: 프로세스 인젝션 (T1055), 예약된 작업 (T1053), 소프트웨어 패킹 (T1045)

 

우리는 또한 Joseph Kamau에 의해 업데이트된 커뮤니티 규칙에도 주목하고 싶습니다. 다른 참가자이며, Threat Bounty Program 에서 이 악성코드 패밀리를 감지합니다: https://tdm.socprime.com/tdm/info/UfASCTRThrpD/ucL5um0BEiSx7l0HUYUP/

더 많은 관련 규칙:

Lee Archinal에 의해 개발된 Hawkeye 키로거 감지기 – https://tdm.socprime.com/tdm/info/vQ4U4oKDynbo/ss22ImsBohFCZEpaTLaW/

Ariel Millahuel에 의해 개발된 HawkEye 악성코드 – 코로나바이러스 사기 (Sysmon 감지) – https://tdm.socprime.com/tdm/info/VuI07TPn1F2J/AbHIBnEBqweaiPYISiu3/

Lee Archinal에 의해 개발된 구매 목록 PDF에서의 Hawkeye Strain (Sysmon 동작)(2020년 3월 19일) – https://tdm.socprime.com/tdm/info/G8ZfXLdGYn0Q/i7FZ93ABqweaiPYIJiTQ/

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.