También se ha utilizado para el espionaje industrial contra la empresa noruega Telnor y otras corporaciones civiles, noticia que se conoció el 17 de marzo de este año.
He recopilado en esta entrada las reglas de detección existentes para la algunos de los patrones expuestos en este informe, y aquellas que tenía creadas unas para detectar los accesos vía DNS a los dominios que están involucrados con la estructura del APT.
Buscando en las reglas de la gente de Emerging Threats, salen las siguientes firmas:
- ET TROJAN Hangover Campaign Keylogger Checkin
- ET TROJAN Hangover Campaign Keylogger 2 checkin
- ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(FMBVDFRESCT)
- ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(DSMBVCTFRE)
- ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(MBESCVDFRT)
- ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(TCBFRVDEMS)
- ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(DEMOMAKE)
- ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(DEMO)
- ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(UPHTTP)
- ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(sendFile)
- ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(file)
- ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(vbusers)
- ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(folderwin)
- ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(smaal)
- ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(nento)
- ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(bugmaal)
Podéis descargar el fichero aquí: ET-operation-over.rules
Además, podéis utilizar estos ficheros en vuestras máquinas:
- hangover-domains.txt: recopilación de los 606 dominios relacionados con el APT que figuran en el anexo del informe
- hangover-segofensiva.rules: reglas para Sourcefire/Snort para detectar las peticiones DNS a cualquiera de los dominios indicados anteriormente
Si alguno no ha tenido oportunidad de poder leer el informe de Operation Hangover, os dejo los enlaces a los PDFs a continuación:
Espero que os sean de utilidad :)
No hay comentarios:
Publicar un comentario