BLINDINGCAN RAT

Alla fine della scorsa settimana, Ariel Millahuel ha rilasciato una regola di caccia alle minacce della community per rilevare il Trojan di Accesso Remoto BLINDINGCAN utilizzato dagli hacker sponsorizzati dallo stato nordcoreano: https://tdm.socprime.com/tdm/info/pi0B7x1SzQlU/FiBkEHQBSh4W_EKGcibk/?p=1

La regola è basata su un rapporto di analisi del malware recentemente pubblicato dagli esperti di CISA. L’attore della minaccia ha usato BLINDINGCAN RAT in una campagna di cyber-spionaggio principalmente rivolta ai settori della difesa e dell’aerospazio degli Stati Uniti. Hanno inviato false offerte di lavoro ai dipendenti tramite email e social network, e i ricercatori sono riusciti ad attribuire questa campagna a Hidden Cobra.

Dopo aver infettato un sistema, gli avversari hanno raccolto tecnologie chiave militari ed energetiche utilizzando il loro nuovo trojan con diverse funzioni. BLINDINGCAN RAT è in grado di recuperare informazioni su tutti i dischi installati, la versione del sistema operativo e le informazioni sul processore, indirizzi IP e MAC locali. Può creare, avviare e terminare un nuovo processo e il suo thread principale; cercare, leggere, scrivere, spostare ed eseguire file; ottenere e modificare i timestamp di file o directory; cambiare la directory corrente per un processo o file; rimuovere le tracce del malware e delle attività dannose.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Esecuzione, Elusione Difese

Tecniche:  Esecuzione di Binary Proxy firmato (T1218)

Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure partecipa al programma Threat Bounty per creare il tuo contenuto e condividerlo con la comunità TDM.