Regras de Caça a Ameaças: MaaS Golden Chickens

Como você sabe, Malware-as-a-Service (MaaS) é um negócio que já se tornou comum e opera em fóruns subterrâneos e mercados negros, oferecendo uma gama de serviços. Os primeiros ataques usando o Golden Chickens MaaS começaram em 2017, e o grupo Cobalt estava entre seus primeiros “clientes”. O sucesso deste projeto depende fortemente de ferramentas e serviços específicos que fornecem aos clientes o malware e a infraestrutura necessária para ataques direcionados. 

Nesta primavera, os autores de malware mais uma vez aprimoraram o TerraLoader, VenomLNK e more_eggs, e vários agentes de ameaça já aproveitaram a funcionalidade atualizada. TerraLoader é um carregador multifuncional escrito em PureBasic, sua nova variante usa diferentes técnicas de de/obfuscação de string, implementação de brute force e técnicas anti-análise. VenomLNK é um arquivo de atalho do Windows provavelmente gerado por uma versão mais recente do kit de construção VenomKit. Agora, ele usa um novo número de série de volume, um esquema de execução evoluído e apenas o caminho local para o prompt de comando do Windows. E o backdoor more_eggs agora inclui um atraso mínimo antes de executar ou tentar novamente uma ação, e limpa a memória após o uso.

Novo caça a ameaças comunitário Sigma por Osman Demir ajuda a detectar as ferramentas atualizadas que fazem parte do Golden Chickens MaaS: https://tdm.socprime.com/tdm/info/9qsYmDO3UnAK/8tPCj3MBQAH5UgbBiEhf/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução, Evasão de Defesa, Persistência, Escalação de Privilégio

Técnicas: Regsvr32 (T1117), Tarefa Agendada (T1053), Execução de Usuário (T1204)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.