Regra Sigma: Grupo de Hackers Outlaw

A equipe da SOC Prime lançou uma nova regra Sigma baseada em IOCs que pode detectar os indicadores conhecidos do grupo de hackers Outlaw.

Confira o link para ver as traduções disponíveis no Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/yyiW6rvv5a00/JiEBzHEBjwDfaYjKqEwv/

Além disso, você pode usar Uncoder para converter a regra Sigma para várias plataformas suportadas sem acesso ao seu ambiente SIEM. Recentemente, adicionamos suporte para novas plataformas para que mais empresas possam usar esta ferramenta gratuita.

Após um aumento relativamente rápido na popularidade em 2018, os coinminers agora estão experimentando um declínio significativo no interesse dos cibercriminosos. Principalmente, os centros abundam o fato de que apenas alguns atores de ameaça conseguiram obter lucro significativo, e muito poucos deles continuam campanhas em larga escala. Um dos atores de ameaça que têm campanhas em andamento é o grupo de hackers Outlaw, que está ativo desde 2018, mas os especialistas em cibersegurança ainda não sabem muito sobre esse grupo. Inicialmente, os cibercriminosos infectaram dispositivos IoT e servidores Linux para minerar criptomoeda Monero. Em 2019, o grupo atualizou seu botnet para que pudesse ser usado para realizar ataques DDoS, a maioria dos alvos do grupo estava localizada na China.

O próximo aumento na atividade do grupo de hackers Outlaw começou em dezembro do ano passado. Mais uma vez, os atacantes modificaram seu botnet e seus ataques se tornaram mais direcionados a empresas. A nova campanha tem como alvo dispositivos na Europa e nos Estados Unidos, os cibercriminosos estão interessados em empresas com sistemas expostos à internet com monitoramento fraco ou inexistente de tráfego e atividades, e empresas que ainda não corrigiram seus sistemas. Além da função de mineração de criptomoedas, o botnet agora possui um conjunto de ferramentas para roubo de dados e técnicas de evasão aprimoradas para atividades de varredura.

ação: global
título: Outlaw Hacking Group (IOCs)
descrição: Outlaw hackers grupo indicador of comprometimento.
status: estável
autor: SOC Prime Team
tags:
– attack.command_and_control
– attack.t1071
– attack.t1043
nível: alto
—
fonte_log:
  categoria: dns
detecção:
  seleção:
    consulta: “debian-package.center”
  condição: seleção
—
fonte_log:
  categoria: firewall
detecção:
  seleção:
    dst_ip:
    – “45.9.148.125”
    – “45.9.148.129”
    – “45.9.148.99”
  condição: seleção
—
fonte_log:
  categoria: proxy
detecção:
  seleção:
    cs-host:
    – “debian-package.center”
    – “45.9.148.125”
    – “45.9.148.129”
    – “45.9.148.99”
  seleção2:
    r-dns:
    – “debian-package.center”
  condição: seleção or seleção2 

Uma regra Sigma comunitária anterior publicada em nosso blog ajudou a detectar a campanha de malware Asnarok direcionada aos Firewalls Sophos XG: https://socprime.com/blog/sigma-rule-sophos-firewall-asnarok-malware-campaign/