위협 사냥 규칙: Gamaredon 그룹 행동

2013년에 등장한 Gamaredon 그룹은 처음에는 맞춤형 멀웨어를 사용하지 않았으나, 시간이 지나면서 Pterodo 및 EvilGnome 멀웨어를 포함한 여러 사이버 스파이 도구를 개발했습니다. 최근 몇 달 동안, 이 그룹은 적극적으로 피싱 이메일을 보내고 있습니다 문서에 악성 매크로가 포함되어 있어 다양한 멀웨어 변종을 다운로드하도록 하는 공격으로. Gamaredon 그룹은 공격 시스템에서 민감한 데이터를 수집하고 손상된 조직의 네트워크를 통해 멀웨어를 확산시키기 위해 설계된 다양한 프로그래밍 언어로 작성된 매우 간단한 도구를 사용합니다. 

대부분의 국가 지원 사이버 스파이 조직과 달리, Gamaredon 그룹은 훨씬 더 은밀할 수 있는 추가 멀웨어를 다운로드하고 배포할 수 있는 “시끄러운” 도구를 사용하는 것을 주저하지 않습니다. 일반적으로 이 위협 행위자는 가능한 한 많은 시스템을 감염시키고 IT 보안 부서가 사건을 감지하고 대응하기 전에 가능한 한 빨리 기밀 파일을 탈취하려고 합니다. 따라서 그룹 도구를 빠르게 발견하는 것이 중요하며, 커뮤니티의 위협 헌팅 룰을 사용하여 Ariel Millahuel 가 공개한 Gamaredon 그룹의 행동을 발견하고 민감한 데이터가 유출되기 전에 그들의 활동을 중단시킬 수 있습니다: https://tdm.socprime.com/tdm/info/2pyW5Obof5YW/1QlL7HMBSh4W_EKGSZ86/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Microsoft Defender ATP, Elastic Endpoint

MITRE ATT&CK: 

전술: 지속성

기술: 오피스 응용 프로그램 시작 (T1137)

SOC Prime TDM을 직접 체험해보시겠습니까? 무료로 가입하세요. 또는 위협 보상 프로그램에 참여하여 귀하의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.