BLINDINGCAN RAT

Fin de la semaine dernière, Ariel Millahuel a publié une règle de chasse aux menaces communautaire pour détecter le Cheval de Troie d’Accès à Distance BLINDINGCAN utilisé par les hackers sponsorisés par l’État nord-coréen : https://tdm.socprime.com/tdm/info/pi0B7x1SzQlU/FiBkEHQBSh4W_EKGcibk/?p=1

La règle est basée sur un rapport d’analyse de logiciels malveillants récemment publié par des experts du CISA. Les acteurs de la menace ont utilisé le RAT BLINDINGCAN dans une campagne de cyberespionnage principalement ciblée sur les secteurs de la défense et de l’aérospatiale américains. Ils ont envoyé de fausses offres d’emploi aux employés par email et réseaux sociaux, et les chercheurs ont réussi à attribuer cette campagne à Hidden Cobra.

Après avoir infecté un système, les adversaires ont collecté des technologies clés dans les domaines militaire et énergétique en utilisant leur nouveau cheval de Troie aux multiples fonctions. Le RAT BLINDINGCAN est capable de récupérer des informations sur tous les disques installés, la version du système d’exploitation et les informations du processeur, les adresses IP et MAC locales. Il peut créer, démarrer et terminer un nouveau processus et son thread principal ; chercher, lire, écrire, déplacer et exécuter des fichiers ; obtenir et modifier les horodatages de fichiers ou de répertoires ; changer le répertoire courant pour un processus ou un fichier ; supprimer les traces de logiciels malveillants et d’activités malveillantes.

La règle a des traductions pour les plates-formes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK : 

Tactiques : Exécution, Évasion des Défenses

Techniques :  Exécution de Proxy de Binaire Signé (T1218)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.