Ende letzter Woche, Ariel Millahuel veröffentlichte eine Community-Thread-Hunting-Regel zur Erkennung des BLINDINGCAN Remote Access Trojaners, der von nordkoreanischen staatlich unterstützten Hackern verwendet wird: https://tdm.socprime.com/tdm/info/pi0B7x1SzQlU/FiBkEHQBSh4W_EKGcibk/?p=1
Die Regel basiert auf einem Malware-Analysebericht , der kürzlich von CISA-Experten veröffentlicht wurde. Die Bedrohungsakteure verwendeten BLINDINGCAN RAT in einer Cyber-Spionage-Kampagne, die hauptsächlich auf den US-Verteidigungs- und Luftfahrtsektor abzielte. Sie versendeten gefälschte Stellenangebote per E-Mail und über soziale Netzwerke an die Mitarbeiter, und den Forschern gelang es, diese Kampagne auf Hidden Cobra.
zurückzuführen. Nach der Infektion eines Systems sammelten die Angreifer mit ihrem neuen Trojaner mit mehreren Funktionen wichtige Militär- und Energietechnologien. BLINDINGCAN RAT ist in der Lage, Informationen zu allen installierten Festplatten, Betriebssystemversion und Prozessorinformationen, lokale IP- und MAC-Adressen abzurufen. Er kann einen neuen Prozess und dessen primären Thread erstellen, starten und beenden; Dateien suchen, lesen, schreiben, verschieben und ausführen; Dateien oder Verzeichnisse löschen und ändern; das aktuelle Verzeichnis für einen Prozess oder eine Datei ändern; Spuren von Malware und bösartiger Aktivität entfernen.
Die Regel hat Übersetzungen für folgende Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Ausführung, Verteidigung Umgehung
Techniken: Signierte Binär-Proxy-Ausführung (T1218)
Bereit, SOC Prime TDM auszuprobieren? Jetzt kostenlos registrieren. Oder dem Threat Bounty Program beitreten , um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.
