Contenuto di Rilevamento: Backdoor RDAT

Ultime Minacce

Luglio 27, 2020

2 min di lettura

Contenuto di Rilevamento: Backdoor RDAT

Eugene Tkachenko
Eugene Tkachenko Responsabile Programma Comunitario

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

La scorsa settimana, i ricercatori hanno pubblicato dettagli sugli attacchi mirati alle telecomunicazioni del Medio Oriente effettuati da APT34 (alias OilRig e Helix Kitten), e strumenti aggiornati nell’arsenale di questo gruppo. Naturalmente, i partecipanti al Threat Bounty Program non sono rimasti indifferenti e hanno pubblicato un paio di regole per rilevare il RDAT Backdoor, ma di questo parleremo più avanti.

APT34 è attivo almeno dal 2014, il gruppo conduce attività di ricognizione in linea con gli interessi strategici del governo iraniano operando principalmente in Medio Oriente e prendendo di mira i settori finanziari, governativi, dell’energia, chimici, delle telecomunicazioni e altri settori industriali. Nel 2020, il gruppo ha condotto diverse campagne, cacciando organizzazioni governative negli Stati Uniti e modificando a questo scopo strumenti utilizzati in campagne precedenti.

RDAT Backdoor non è nemmeno uno strumento completamente nuovo, APT34 ha già utilizzato le prime versioni nel 2017 e 2018. La nuova versione del malware presenta un nuovo canale C2 basato su email utilizzato in combinazione con la steganografia per esfiltrare dati. Gli avversari possono usarlo per emettere comandi, leggere gli output e inviare i risultati al server C&C; è anche capace di scaricare e caricare file tramite un protocollo C&C selezionato.

Contenuto di rilevazione per individuare questa minaccia:

Il “RDAT “Backdoor di Oilrig (rilevamento Sysmon) by Ariel Millahuelhttps://tdm.socprime.com/tdm/info/k6BRV4W38EJc/xcmAgHMBQAH5UgbBf-WN/?p=1

Una variante di OILRIG(RDAT Backdoor) by Emir Erdoganhttps://tdm.socprime.com/tdm/info/at9qZwhXJDef/VfGCgHMBPeJ4_8xcKk9B/?p=1

 

Le regole hanno traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Esecuzione, Movimento Laterale, Comando e Controllo.

Tecniche: Copia File Remota (T1105), PowerShell (T1086)


Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare il tuo contenuto e condividerlo con la comunità TDM.

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Ultime Minacce Articles

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Zahorulko Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Zahorulko Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware 4 min di lettura Ultime Minacce Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware by Veronika Zahorulko