Le cheval de Troie Bladabindi est connu depuis au moins 2013, ses auteurs surveillent les tendances en cybersécurité et améliorent le cheval de Troie pour empêcher sa détection : ils le recompilent, le rafraîchissent et le rehashent, rendant ainsi le contenu de détection basé sur les indicateurs de compromission presque inutile. En 2018, le cheval de Troie Bladabindi est devenu sans fichier et a été utilisé comme une charge utile secondaire livrée par le malware njRAT / Njw0rm. Le cheval de Troie infecte les clés USB pour se propager à travers les organisations attaquées. Les adversaires utilisent Bladabindi pour voler des données sensibles, télécharger et exécuter des outils supplémentaires, et collecter des identifiants, il est également utilisé comme un cheval de Troie et un keylogger.
Ariel Millahuel a créé la règle Sigma de Threat Hunting basée sur des découvertes récentes pour repérer les caractéristiques de ce malware et l’a publiée sur le Threat Detection Marketplace. https://tdm.socprime.com/tdm/info/3DBnUyJPThQ2/SCFEwHEBjwDfaYjKnj0I/?p=1
Ariel est l’un des contributeurs les plus actifs du programme de développement, qui mène le top 10 des auteurs de contenu ce mois-ci. En avril, il a publié plus de 50 règles Sigma pour détecter l’activité des groupes APT et divers malwares utilisés dans des attaques récentes.
Entretien avec Ariel Millahuel : https://socprime.com/blog/interview-with-developer-ariel-millahuel/
Explorez le contenu soumis par Ariel : https://tdm.socprime.com/?authors=ariel+millahuel
La détection des menaces est prise en charge pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness
EDR : Carbon Black, Elastic Endpoint
MITRE ATT&CK :
Tactiques : Exécution, Évasion de la Défense
Techniques : Interface en Ligne de Commande (T1059), Désactivation des Outils de Sécurité (T1089), Modification du Registre (T1112)
