Bedrohungsjagdregeln: Redaman RAT

Heute, in der Kategorie Bedrohungsjagd-Regeln, freuen wir uns, Ihnen eine neue Regel vorzustellen, die von Ariel Millahuel entwickelt wurde, die Redaman RAT erkennt: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1

Redaman ist eine Form von Banking-Trojanern, die durch Phishing-Kampagnen verbreitet werden. Es wurde erstmals 2015 gesehen und als RTM-Banking-Trojaner gemeldet, neue Versionen von Redaman erschienen 2017 und 2018.  Im September 2019 identifizierten Forscher eine neue Version dieser Malware, die eine bisher unbekannte Technik nutzt, um Pony C&C-Server-IP-Adressen in der Bitcoin-Blockchain zu verstecken: der Trojaner verbindet sich mit der Bitcoin-Blockchain und verknüpft Transaktionen, um den versteckten C&C-Server zu finden. Eine kürzlich entdeckte Version des Radaman-Trojaners zeigt ein neues Verhalten. Es bezieht sich auf die Modifizierung von Root-Zertifikaten und den Missbrauch der rundll32-Ausführung, um bösartige Dateien bereitzustellen. Diese Malware wird oft in Malspam-Kampagnen eingesetzt, und daher verbessern ihre Autoren sie ständig und bringen ihr neue Tricks bei.

Die Regel hat Übersetzungen für die folgenden Plattformen:

MITRE ATT&CK: 

Taktiken: Ausführung, Verteidigungsumgehung, Persistenz, Privilegieneskalation

Taktiken: Ausführung, Verteidigungsumgehung, Persistenz, Privilegieneskalation

Taktiken: Ausführung, Verteidigungsumgehung, Persistenz, Privilegieneskalation

Techniken: Root-Zertifikat installieren (T1130), Geplanter Task (T1053)

Bereit, SOC Prime TDM auszuprobieren?

Melden Sie sich kostenlos an . Odertreten Sie dem Threat Bounty-Programm bei , um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen. to craft your own content and share it with the TDM community.