Resumo de Regras: Grupos APT, Campanhas de Malware e Telemetria do Windows

[post-views]
Junho 13, 2020 · 6 min de leitura
Resumo de Regras: Grupos APT, Campanhas de Malware e Telemetria do Windows

Esta semana o nosso Resumo de Regras cobre mais conteúdo do que o habitual. Compila regras para detectar ataques recentes de atores patrocinados por Estados, campanhas de malware conduzidas por cibercriminosos e abuso da telemetria do Windows.

 

Mustang Panda é o grupo de ameaça baseado na China que demonstrou a habilidade de rapidamente assimilar novas ferramentas e táticas em suas operações. Este grupo APT visa organizações não-governamentais em geral, e os adversários frequentemente utilizam malwares compartilhados como Poison Ivy ou PlugX em suas campanhas. Eles podem usar séries de redirecionamentos e implementações maliciosas sem arquivo de ferramentas legítimas para obter acesso aos sistemas-alvo e reutilizar domínios legítimos previamente observados para hospedar arquivos. 

A regra de Ariel Millahuel desvenda as atividades do APT relacionadas à utilização da técnica DLL-Sideload (com um binário legítimo) e o deploy do Trojan PlugX.

Possível nova atividade do Mustang Panda (via Trojan PlugX)

https://tdm.socprime.com/tdm/info/QjFFiT08pnJW/MT-inXIBQAH5UgbBgP0n/?p=1

Mais regras para detectar Trojan PlugX em Threat Detection Marketplace

 

O malware Lookback foi usado pela primeira vez em uma campanha de spear-phishing direcionada a empresas dos EUA no setor de utilidader. Após a exposição, ao invés de parar a campanha, os operadores do trojan LookBack alteraram o texto dos emails de phishing e continuaram a atacar organizações. Inicialmente, estes ataques foram vinculados à unidade chinesa de ciber-espionagem, mas uma observação mais aprofundada das campanhas permitiu que os pesquisadores sugerissem que a semelhança nas TTPs poderia ser usada pelos atacantes como uma bandeira falsa para complicar a atribuição. Ao mesmo tempo das campanhas LookBack, pesquisadores da Proofpoint identificaram uma família de malware nova, adicional, denominada FlowCloud que também estava sendo entregue a provedores de utilidades dos EUA. O malware dá ao ator de ameaça controle completo sobre uma máquina infectada. Sua funcionalidade inclui a capacidade de acessar aplicativos instalados, teclado, mouse, tela, arquivos, serviços e processos com a capacidade de exfiltrar informações via comando e controle. A regra comunitária de Den Iuzvik detecta características do Grupo TA410 em campanhas de malware LookBack e FlowCloud.

Campanhas de malware LookBack e FlowCloud do TA410 (Comportamento Sysmon)

https://tdm.socprime.com/tdm/info/lKou8ugtwy5L/yzzGnXIBSh4W_EKGDORm/?p=1

 

Charming Kitten é uma unidade iraniana de ciber-espionagem que está ativa desde aproximadamente 2014, visando organizações envolvidas nos setores de governo, tecnologia de defesa, militar e diplomacia. A maioria dos seus alvos foi localizada no Irã, Estados Unidos, Israel, e Reino Unido. O Charming Kitten geralmente tenta acessar contas privadas de email e Facebook, e às vezes estabelece uma base nos computadores das vítimas como um objetivo secundário. Durante os ataques, o grupo APT muitas vezes utiliza o Trojan de backdoor DownPaper, cuja função principal é baixar e executar um malware de próximo estágio. Esta semana Lee Archinal liberou uma série de regras para detectar o backdoor DownPaper:

Criação de Arquivo Charming Kitten Downpaper (Comportamento Sysmon)

https://tdm.socprime.com/tdm/info/rIyO0HQ4tjGE/sDzJnXIBSh4W_EKGU-YE/?p=1

Processo Executado Charming Kitten Downpaper (Linha de Comando) (Comportamento Sysmon)

https://tdm.socprime.com/tdm/info/v1Zxyz8gOqYU/7WfPnXIBPeJ4_8xc_3Sw/?p=1

Processo Executado Charming Kitten Downpaper (Powershell) (Comportamento Sysmon)

https://tdm.socprime.com/tdm/info/Skcb5qUnFq8K/fkDOnXIBQAH5UgbBZxat/?p=1

Modificação do Registro Charming Kitten Downpaper (Comportamento Sysmon)

https://tdm.socprime.com/tdm/info/2QPnCf4lqAf0/iTzMnXIBSh4W_EKGU-jZ/?p=1

 


Mais adiante em nosso resumo, algumas regras que detectam o abuso da telemetria do Windows para persistência, que afeta máquinas Windows de 2008R2/Windows 7 até 2019/Windows 10. As regras comunitárias foram enviadas por Den Iuzvik e podem ser usadas para descobrir o abuso do CompatTelRunner.exe para persistência. Elas também podem ajudar a detectar ações de um ator de ameaça avançado que já penetrou no sistema e está tentando elevar privilégios para o nível do Sistema.

Abuso da telemetria do Windows CompatTelRunner.exe (Comportamento Sysmon)  https://tdm.socprime.com/tdm/info/BOLaiaKu9Fpr/NUDUnXIBQAH5UgbB9hop/?p=1

Abuso da telemetria do Windows CompatTelRunner.exe (Regra de Auditoria)

https://tdm.socprime.com/tdm/info/0ZXi5CE8Zkwb/REDWnXIBQAH5UgbBoBvd/?p=1

Também vamos lançar uma regra comunitária de Sreeman Shanker que também descobre esta forma de alcançar persistência 

 

Valak é um malware sofisticado que foi observado pela primeira vez no final de 2019. Ele pode ser usado independentemente como um ladrão de informações para alvejar indivíduos e empresas. As versões recentes do Valak visam servidores Microsoft Exchange para roubar informações de email corporativo e senhas juntamente com o certificado corporativo. Ele pode sequestrar respostas de email e incorporar URLs ou anexos maliciosos para infectar dispositivos com scripts sem arquivo. Campanhas descobertas foram especificamente direcionadas a empresas nos Estados Unidos e na Alemanha. A nova regra de Osman Demir é destinada a identificar esta ameaça na rede corporativa.

Malware Valak e a Conexão com Gozi Loader ConfCrew

https://tdm.socprime.com/tdm/info/1rwi3PwN6Dya/wGoao3IBPeJ4_8xcH4Ii/?p=1

 

 

As regras têm traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Táticas: Acesso Inicial, Evasão de Defesa, Execução, Persistência, Escalação de Privilégios, Comando e Controle 

Técnicas: Anexo de Spearphishing (T1193), DLL Side-Loading (T1073), Chaves de Registro/ Pasta de Inicialização (T1060), Tarefa Agendada (T1053), Modificação de Registro (T1112), Interface de Linha de Comando (T1059), PowerShell (T1086), Scripts (T1064), Porta Comumente Usada (T1043), Timestomp (T1099)

 

Aguarde o próximo resumo em uma semana, e não esqueça de se registrar para Palestras Semanais sobre Notícias em Destaque em Cibersegurança: https://my.socprime.com/en/weekly-talks/

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Tática de Execução | TA0002
Ameaças Mais Recentes, Blog — 7 min de leitura
Tática de Execução | TA0002
Daryna Olyniychuk
PyVil RAT pelo Grupo Evilnum
Ameaças Mais Recentes, Blog — 2 min de leitura
PyVil RAT pelo Grupo Evilnum
Eugene Tkachenko
JSOutProx RAT
Ameaças Mais Recentes, Blog — 3 min de leitura
JSOutProx RAT
Eugene Tkachenko