Red Mudnester
Incident rapportage
Op verzoek van de Gemeente Buren deelt Hunt & Hackett haar incident response rapportage met het publiek. De Gemeente Buren wil hiermee transparant zijn over wat er precies is gebeurd en daarnaast ook de inzichten en ervaringen delen, zodat voorkomen kan worden dat anderen eveneens het slachtoffer van deze aanvalsmethode / -groep worden.
SHA256:
2e9062aaeaa433e944e086514dea9b1868c04c3a8e667eade8cee040486b18f1
MD5:
b3e4e0bc76e050d8a1af5c613326ee6f
Detectie
Naast het rapport stelt Hunt & Hackett via onze GitHub-pagina de waargenomen aanvalsstappen beschikbaar zoals beschreven in het rapport gedeeld als TLP:WHITE. Het doel van het delen van de waargenomen aanvalsstappen is om andere organisaties hulpmiddelen te bieden om een mogelijke aanval van de threat actor te kunnen detecteren.
-
Indicators of compromise: https://github.com/huntandhackett/red-mudnester#indicators-of-compromise
-
Hunting queries: https://github.com/huntandhackett/red-mudnester/blob/main/RedMudnester.ipynb
-
Detectieregels: https://github.com/huntandhackett/red-mudnester/tree/main/rules
Heeft u vragen?
- Voor vragen over de inhoud van de rapportage, neem contact op met de Gemeente Buren.
- Voor vragen over de security context, het dreigingslandschap en het gevolgde incident response traject, neem contact op met Hunt & Hackett via info@huntandhackett.com of 070 - 222 0000
Leeswijzer
Namen van specifieke systemen zijn afgekort en voorzien van een nummer. De nummering is op basis van voorkomen in het rapport. Dus bijvoorbeeld, de eerst genoemde Domain Controller is [DC1], en de eerst genoemde gebruikersnaam is [GN1]. Getallen, in geval deze een risico vormen voor de veiligheid en intergriteit van het netwerk van Gemeente Buren, zijn vervangen door [X]. URLs zijn vervangen voor [URL], omdat deze pagina'g ongewenst informatie kunnen verstrekken over de aanvaller (Threat Actor, e.g. TA) of aanvaller infrastructuur.