Conteúdo de Caça a Ameaças: Múltipla Detecção de HawkEye

Começamos a semana com uma nova regra de Emir Erdogan – HawkEye Multiple Detection (Campanha de Phishing Temática sobre Covid19). Este malware também é conhecido como Predator Pain e rouba uma variedade de informações sensíveis do sistema infectado, incluindo informações de carteiras de bitcoin e credenciais de navegadores e clientes de e-mail. O ladrão de informações é capaz de capturar screenshots e pode atuar como um keylogger. O malware é distribuído desde 2013, está disponível como um serviço na dark web, e seus autores envolvem seus clientes na revenda do malware. Graças a essa atividade, quase todos os dias novas amostras de HawkEye infostealer são enviadas para any.run. Geralmente é usado no início de um ataque para coletar informações e credenciais antes de instalar outras ferramentas, especialmente desde que uma função de downloader foi descoberta em amostras descobertas recentemente.

Uma regra de Emir Erdogan descobre variantes do HawkEye que são distribuídas via e-mails de phishing com tema COVID-19 direcionados a múltiplas organizações no setor de saúde. O ator da ameaça por trás desta campanha não pode ser determinado, mas pesquisadores de segurança da Anomali acreditam que eles demonstram um nível moderado de sofisticação.

https://tdm.socprime.com/tdm/info/PI3uYeozxMLb/sCEcGHIBjwDfaYjKTYKZ/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black

MITRE ATT&CK:

Táticas: Execução, Persistência, Escalação de Privilégios, Evasão de Defesa

Técnicas: Injeção de Processo (T1055), Tarefa Agendada (T1053), Compactação de Software (T1045)

Também queremos chamar sua atenção para a regra atualizada pela comunidade de Joseph Kamau, outro participante do Threat Bounty Program que detecta esta família de malware: https://tdm.socprime.com/tdm/info/UfASCTRThrpD/ucL5um0BEiSx7l0HUYUP/

Mais regras relacionadas:

Detector de keylogger HawkEye por Lee Archinal – https://tdm.socprime.com/tdm/info/vQ4U4oKDynbo/ss22ImsBohFCZEpaTLaW/

Malware HawkEye – Golpe do Coronavírus (detecção Sysmon) por Ariel Millahuel – https://tdm.socprime.com/tdm/info/VuI07TPn1F2J/AbHIBnEBqweaiPYISiu3/

Hawkeye Strain da Lista de Compras PDF (Comportamento Sysmon)(19-Março-2020) por Lee Archinal – https://tdm.socprime.com/tdm/info/G8ZfXLdGYn0Q/i7FZ93ABqweaiPYIJiTQ/