Erkennungsinhalt: RDAT-Hintertür

[post-views]
Juli 27, 2020 · 2 min zu lesen
Erkennungsinhalt: RDAT-Hintertür

Letzte Woche haben Forscher Veröffentlichungen vorgenommen Details zu den Angriffen veröffentlicht, die auf die Telekommunikation im Nahen Osten abzielten, durchgeführt von APT34 (auch bekannt als OilRig und Helix Kitten) und aktualisierte Werkzeuge im Arsenal dieser Gruppe. Natürlich ließen es sich die Teilnehmer des Threat Bounty Program nicht nehmen, ein paar Regeln zur Erkennung des RDAT-Backdoors zu veröffentlichen, doch dazu weiter unten mehr.

APT34 ist mindestens seit 2014 aktiv. Die Gruppe führt Aufklärungsmaßnahmen durch, die mit den strategischen Interessen der iranischen Regierung in Einklang stehen, und operiert hauptsächlich im Nahen Osten, wobei sie Finanz-, Regierungs-, Energie-, Chemie-, Telekommunikations- und andere Industrien ins Visier nimmt. Im Jahr 2020 führte die Gruppe mehrere Kampagnen durch, um Jagd auf Regierungsorganisationen in den Vereinigten Staaten zu machen und zu diesem Zweck Werkzeuge zu modifizieren, die in früheren Kampagnen verwendet wurden.

RDAT Backdoor ist ebenfalls kein völlig neues Werkzeug, APT34 hat bereits in den Jahren 2017 und 2018 frühe Versionen davon genutzt. Die neue Version der Malware verfügt über einen neuartigen, auf E-Mail basierenden C2-Kanal, der in Kombination mit Steganografie zur Datenexfiltration verwendet wird. Gegner können damit Befehle erteilen, die Ausgabe lesen und die Ergebnisse an den C&C-Server senden; es ist auch in der Lage, Dateien über ein ausgewähltes C&C-Protokoll herunterzuladen und hochzuladen.

Erkennungsinhalte, um diese Bedrohung zu erkennen:

Oilirg’s „RDAT „Backdoor (Sysmon-Erkennung) by Ariel Millahuelhttps://tdm.socprime.com/tdm/info/k6BRV4W38EJc/xcmAgHMBQAH5UgbBf-WN/?p=1

Eine Variante von OILRIG(RDAT Backdoor) by Emir Erdoganhttps://tdm.socprime.com/tdm/info/at9qZwhXJDef/VfGCgHMBPeJ4_8xcKk9B/?p=1

 

Die Regeln haben Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Ausführung, Laterale Bewegung, Befehl und Kontrolle.

Techniken: Remote File Copy (T1105), PowerShell (T1086)


Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder dem Threat Bounty Program beitreten , um eigene Inhalte zu erstellen und sie mit der TDM-Community zu teilen.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Ausführungstaktik | TA0002
Blog, Neueste Bedrohungen — 6 min zu lesen
Ausführungstaktik | TA0002
Daryna Olyniychuk
PyVil RAT von Evilnum Group
Blog, Neueste Bedrohungen — 2 min zu lesen
PyVil RAT von Evilnum Group
Eugene Tkachenko
JSOutProx RAT
Blog, Neueste Bedrohungen — 2 min zu lesen
JSOutProx RAT
Eugene Tkachenko