Sigma de IOC: Atividades do Grupo APT GreenBug

Greenbug APT é uma unidade de ciberespionagem baseada no Irã que está ativa desde pelo menos junho de 2016. O grupo provavelmente usa ataques de spear-phishing para comprometer organizações alvo. Os adversários usam várias ferramentas para comprometer outros sistemas na rede após um compromisso inicial e roubam nomes de usuário e senhas de sistemas operacionais, contas de email e navegadores web. Em 2017, as credenciais coletadas pelo grupo Greenbug foram usadas em ataques de outro grupo APT iraniano implantando o malware destrutivo Shamoon.

Sua nova campanha começou em abril de 2019 e durou mais de um ano, visando empresas de telecomunicações no sul da Ásia. Greenbug usa ferramentas prontas e ferramentas nativas do sistema, parece que o grupo está interessado em obter acesso a servidores de banco de dados: os adversários roubam credenciais e depois as usam para testar a conectividade com esses servidores. Seu foco em roubar credenciais e em estabelecer conexões com servidores de banco de dados mostra que o grupo está buscando alcançar acesso de alto nível à rede de uma vítima – o acesso que, se explorado, pode causar danos a uma rede comprometida muito rapidamente. Esse nível de acesso, se aproveitado por atores usando malware disruptivo ou ransomware, pode desligar a rede inteira de uma organização muito rapidamente.  

A nova regra de Emir Erdogan lançada no Threat Detection Marketplace ajuda a detectar atividades do Greenbug APT e suas tentativas de instalar ferramentas adicionais: https://tdm.socprime.com/tdm/info/ZBEGEjbgCbwS/DYyQS3IB1-hfOQirPFQ4/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: CrowdStrike, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução, Persistência, Escalada de Privilégio,

Técnicas: PowerShell (T1086), Perfil PowerShell (T1504), Tarefa Agendada (T1053), Web Shell (T1100)