Regras de Caça a Ameaças: Comportamento do Grupo Gamaredon

O grupo Gamaredon apareceu em 2013 e, a princípio, não utilizava malware personalizado, mas com o tempo desenvolveu várias ferramentas de ciberespionagem, incluindo Pterodo e EvilGnome malware. Nos últimos meses, o grupo tem estado ativamente enviando e-mails de phishing com documentos contendo macros maliciosas que baixam uma infinidade de variantes de malware diferentes. O grupo Gamaredon utiliza ferramentas muito simples escritas em diferentes linguagens de programação que são projetadas para coletar dados sensíveis em sistemas atacados e espalhar malware através da rede da organização comprometida. 

Ao contrário da maioria das unidades de ciberespionagem patrocinadas por estados, o grupo Gamaredon não hesita em usar ferramentas “barulhentas” que são capazes de baixar e implantar mais malware, que poderia ser muito mais furtivo. Normalmente, o agente da ameaça tenta infectar o maior número possível de sistemas e roubar arquivos confidenciais o mais rápido possível antes que o departamento de Segurança de TI detecte e responda a um incidente. Portanto, descobrir rapidamente as ferramentas do grupo é fundamental e você pode usar a regra de caça à ameaça liberada pela comunidade por Ariel Millahuel para desvendar o comportamento do grupo Gamaredon e interromper sua atividade antes que os dados sensíveis sejam exfiltrados: https://tdm.socprime.com/tdm/info/2pyW5Obof5YW/1QlL7HMBSh4W_EKGSZ86/?p=1

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Microsoft Defender ATP, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Persistência

Técnicas: Inicialização de Aplicativo do Office (T1137)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.