O grupo Gamaredon apareceu em 2013 e, a princípio, não utilizava malware personalizado, mas com o tempo desenvolveu várias ferramentas de ciberespionagem, incluindo Pterodo e EvilGnome malware. Nos últimos meses, o grupo tem estado ativamente enviando e-mails de phishing com documentos contendo macros maliciosas que baixam uma infinidade de variantes de malware diferentes. O grupo Gamaredon utiliza ferramentas muito simples escritas em diferentes linguagens de programação que são projetadas para coletar dados sensíveis em sistemas atacados e espalhar malware através da rede da organização comprometida.
Ao contrário da maioria das unidades de ciberespionagem patrocinadas por estados, o grupo Gamaredon não hesita em usar ferramentas “barulhentas” que são capazes de baixar e implantar mais malware, que poderia ser muito mais furtivo. Normalmente, o agente da ameaça tenta infectar o maior número possível de sistemas e roubar arquivos confidenciais o mais rápido possível antes que o departamento de Segurança de TI detecte e responda a um incidente. Portanto, descobrir rapidamente as ferramentas do grupo é fundamental e você pode usar a regra de caça à ameaça liberada pela comunidade por Ariel Millahuel para desvendar o comportamento do grupo Gamaredon e interromper sua atividade antes que os dados sensíveis sejam exfiltrados: https://tdm.socprime.com/tdm/info/2pyW5Obof5YW/1QlL7HMBSh4W_EKGSZ86/?p=1
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, Microsoft Defender ATP, Elastic Endpoint
MITRE ATT&CK:
Táticas: Persistência
Técnicas: Inicialização de Aplicativo do Office (T1137)
Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
