Contenu de Détection : Porte Dérobée RDAT

[post-views]
juillet 27, 2020 · 2 min de lecture
Contenu de Détection : Porte Dérobée RDAT

La semaine dernière, des chercheurs ont publié les détails des attaques ciblées sur les télécommunications du Moyen-Orient menées par APT34 (alias OilRig et Helix Kitten), et mis à jour les outils dans l’arsenal de ce groupe. Bien sûr, les participants au programme Threat Bounty n’ont pas manqué de publier quelques règles pour détecter le RDAT Backdoor, mais plus sur cela ci-dessous.

APT34 est actif depuis au moins 2014, le groupe mène des reconnaissances alignées avec les intérêts stratégiques du gouvernement iranien opérant principalement au Moyen-Orient et ciblant les industries financières, gouvernementales, énergétiques, chimiques, de télécommunications, et autres. En 2020, le groupe a mené plusieurs campagnes, chassant les organisations gouvernementales aux États-Unis et modifiant à cet effet les outils utilisés dans les campagnes précédentes.

Le RDAT Backdoor n’est pas non plus un outil complètement nouveau, APT34 en a déjà utilisé les premières versions en 2017 et 2018. La nouvelle version du malware a un nouveau canal C2 basé sur des emails utilisé en combinaison avec la stéganographie pour extraire des données. Les adversaires peuvent l’utiliser pour envoyer des commandes, lire la sortie, et envoyer les résultats au serveur C&C ; il est également capable de télécharger et de téléverser des fichiers via le protocole C&C sélectionné.

Contenu de détection pour repérer cette menace :

RDAT Backdoor d’Oilirg (détection Sysmon) by Ariel Millahuelhttps://tdm.socprime.com/tdm/info/k6BRV4W38EJc/xcmAgHMBQAH5UgbBf-WN/?p=1

Une variante de OILRIG (RDAT Backdoor) by Emir Erdoganhttps://tdm.socprime.com/tdm/info/at9qZwhXJDef/VfGCgHMBPeJ4_8xcKk9B/?p=1

 

Les règles ont des traductions pour les plateformes suivantes :

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tactiques : Exécution, Mouvement Latéral, Commande et Contrôle.

Techniques : Copier un fichier à distance (T1105), PowerShell (T1086)


Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Tactique d’Exécution | TA0002
Blog, Dernières Menaces — 7 min de lecture
Tactique d’Exécution | TA0002
Daryna Olyniychuk
PyVil RAT par le groupe Evilnum
Blog, Dernières Menaces — 2 min de lecture
PyVil RAT par le groupe Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Dernières Menaces — 3 min de lecture
JSOutProx RAT
Eugene Tkachenko