우리는 Emir Erdogan의 새로운 규칙으로 주를 시작합니다 – HawkEye Multiple Detection (Covid19 테마 피싱 캠페인). 이 악성코드는 Predator Pain으로도 알려져 있으며, 감염된 시스템에서 비트코인 지갑 정보와 브라우저 및 메일 클라이언트의 자격 증명을 포함한 다양한 민감 정보를 훔칩니다. 이 스틸러는 스크린샷을 찍을 수 있으며, 키로거로도 작동할 수 있습니다. 이 악성코드는 2013년부터 배포되고 있으며, 다크 웹에서 서비스로 제공되며, 저자들은 고객에게 이 악성코드를 재판매하도록 관여합니다. 이러한 활동 덕분에 거의 매일 새 로운 HawkEye 정보유출 스틸러 샘플이 업로드됩니다. any.run. 일반적으로 공격의 초기에 정보를 수집하고 자격 증명을 얻기 위해 사용되며, 특히 다운로드 기능이 발견된 최근에 발견된 샘플에서.
Emir Erdogan의 규칙은 COVID-19 테마의 피싱 이메일 을 통해 배포되는 HawkEye 변종을 발견합니다. 이 캠페인의 위협 행위자는 알 수 없으나, Anomali의 보안 연구원들은 믿습니다 이들이 중간 수준의 정교함을 보여준다고.
https://tdm.socprime.com/tdm/info/PI3uYeozxMLb/sCEcGHIBjwDfaYjKTYKZ/?p=1
이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:
SIEM: ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black
MITRE ATT&CK:
전술: 실행, 지속성, 권한 상승, 방어 회피
기법: 프로세스 인젝션 (T1055), 예약된 작업 (T1053), 소프트웨어 패킹 (T1045)
우리는 또한 Joseph Kamau에 의해 업데이트된 커뮤니티 규칙에도 주목하고 싶습니다. 다른 참가자이며, Threat Bounty Program 에서 이 악성코드 패밀리를 감지합니다: https://tdm.socprime.com/tdm/info/UfASCTRThrpD/ucL5um0BEiSx7l0HUYUP/
더 많은 관련 규칙:
Lee Archinal에 의해 개발된 Hawkeye 키로거 감지기 – https://tdm.socprime.com/tdm/info/vQ4U4oKDynbo/ss22ImsBohFCZEpaTLaW/
Ariel Millahuel에 의해 개발된 HawkEye 악성코드 – 코로나바이러스 사기 (Sysmon 감지) – https://tdm.socprime.com/tdm/info/VuI07TPn1F2J/AbHIBnEBqweaiPYISiu3/
Lee Archinal에 의해 개발된 구매 목록 PDF에서의 Hawkeye Strain (Sysmon 동작)(2020년 3월 19일) – https://tdm.socprime.com/tdm/info/G8ZfXLdGYn0Q/i7FZ93ABqweaiPYIJiTQ/
