Contenido de Detección: Backdoor RDAT

La semana pasada, investigadores publicaron detalles de los ataques dirigidos a las telecomunicaciones del Medio Oriente llevados a cabo por APT34 (también conocido como OilRig y Helix Kitten), y actualizaron las herramientas en el arsenal de este grupo. Por supuesto, los participantes en el Programa de Recompensas de Amenazas no pasaron por alto y publicaron un par de reglas para detectar RDAT Backdoor, pero más sobre eso a continuación.

APT34 está activo desde al menos 2014, el grupo realiza reconocimientos alineados con los intereses estratégicos del gobierno iraní operando principalmente en el Medio Oriente y atacando industrias financieras, gubernamentales, energéticas, químicas, de telecomunicaciones y otras. En 2020, el grupo realizó varias campañas, cazando organizaciones gubernamentales en los Estados Unidos y modificando para este propósito herramientas utilizadas en campañas anteriores.

RDAT Backdoor tampoco es una herramienta completamente nueva, APT34 ya usó versiones tempranas de ella en 2017 y 2018. La nueva versión del malware tiene un novedoso canal de C2 basado en correo electrónico utilizado en combinación con esteganografía para exfiltrar datos. Los adversarios pueden usarlo para emitir el comando, leer la salida y enviar los resultados al servidor C&C; también es capaz de descargar y subir archivos a través del protocolo C&C seleccionado.

Contenido para detectar esta amenaza:

Backdoor «RDAT» de Oilrig (detección Sysmon) by Ariel Millahuel – https://tdm.socprime.com/tdm/info/k6BRV4W38EJc/xcmAgHMBQAH5UgbBf-WN/?p=1

Una variante de OILRIG(RDAT Backdoor) by Emir Erdogan – https://tdm.socprime.com/tdm/info/at9qZwhXJDef/VfGCgHMBPeJ4_8xcKk9B/?p=1

Las reglas tienen traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución, Movimiento Lateral, Comando y Control.

Técnicas: Copia Remota de Archivos (T1105), PowerShell (T1086)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.