Règles de Chasse aux Menaces : Redaman RAT

Aujourd’hui, dans la catégorie Règles de Détection des Menaces, nous sommes heureux de vous présenter une nouvelle règle développée par Ariel Millahuel, qui détecte Redaman RAT : https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1

Redaman est une forme de cheval de Troie bancaire distribuée par des campagnes de phishing. Il a été observé pour la première fois en 2015 et signalé comme le cheval de Troie bancaire RTM, de nouvelles versions de Redaman sont apparues en 2017 et 2018.  En septembre 2019, des chercheurs ont identifié une nouvelle version de ce logiciel malveillant qui utilise une technique jamais vue auparavant pour cacher les adresses IP des serveurs Pony C&C à l’intérieur de la blockchain Bitcoin : le cheval de Troie se connecte à la blockchain Bitcoin et enchaîne les transactions afin de trouver le serveur C&C caché.

Une version récemment découverte du cheval de Troie Radaman montre un nouveau comportement. Elle est liée à la modification des certificats racine et à l’abus de l’exécution rundll32 pour déployer des fichiers malveillants. Ce logiciel malveillant est souvent utilisé dans des campagnes de malspam, et ses auteurs l’améliorent constamment et lui enseignent de nouvelles astuces.

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution, Evasion de la défense, Persistance, Escalade de privilèges

Techniques : Installer un certificat racine (T1130), Tâche planifiée (T1053)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.