RAT BLINDINGCAN

A finales de la semana pasada, Ariel Millahuel lanzó una regla de caza de amenazas comunitaria para detectar el troyano de acceso remoto BLINDINGCAN utilizado por hackers norcoreanos patrocinados por el estado: https://tdm.socprime.com/tdm/info/pi0B7x1SzQlU/FiBkEHQBSh4W_EKGcibk/?p=1

La regla se basa en un informe de análisis de malware publicado recientemente por expertos de CISA. El actor de amenaza utilizó BLINDINGCAN RAT en una campaña de ciberespionaje dirigida principalmente a los sectores de defensa y aeroespacial de EE.UU. Enviaron ofertas de empleo falsas a los empleados por correo electrónico y redes sociales, y los investigadores lograron atribuir esta campaña a Hidden Cobra.

Después de infectar un sistema, los adversarios recopilaron tecnologías clave militares y energéticas usando su nuevo troyano con múltiples funciones. BLINDINGCAN RAT es capaz de recuperar información sobre todos los discos instalados, la versión del sistema operativo e información del procesador, direcciones IP locales y MAC. Puede crear, iniciar y terminar un nuevo proceso y su hilo principal; buscar, leer, escribir, mover y ejecutar archivos; obtener y modificar marcas de tiempo de archivos o directorios; cambiar el directorio actual para un proceso o archivo; eliminar rastros de malware y actividad maliciosa.

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución, Evasión de Defensa

Técnicas:  Ejecución de Proxy de Binario Firmado (T1218)

¿Listo para probar SOC Prime TDM? Regístrese gratis. O únase al Programa de Recompensas de Amenazas para crear su propio contenido y compartirlo con la comunidad TDM.