Regole di Threat Hunting: Redaman RAT

Oggi, nella categoria delle Regole di Threat Hunting, siamo lieti di presentarvi una nuova regola sviluppata da Ariel Millahuel, che rileva Redaman RAT: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1

Redaman è una forma di trojan bancario distribuito da campagne di phishing. È stato visto per la prima volta nel 2015 e segnalato come Trojan bancario RTM, nuove versioni di Redaman sono apparse nel 2017 e nel 2018.  Nel settembre 2019, i ricercatori hanno identificato una nuova versione di questo malware che utilizza una tecnica mai vista prima per nascondere gli indirizzi IP del server C&C Pony all’interno della blockchain di Bitcoin: il trojan si collega alla blockchain di Bitcoin concatenando transazioni per trovare il server C&C nascosto.

Una versione recentemente scoperta del trojan Radaman mostra un nuovo comportamento. È correlata alla modifica dei certificati Root e all’abuso dell’esecuzione di rundll32 per distribuire file dannosi. Questo malware è spesso utilizzato in campagne di malspam, e quindi i suoi autori lo migliorano costantemente e gli insegnano nuovi trucchi.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Esecuzione, Evasione della Difesa, Persistenza, Escalation dei Privilegi

Tecniche: Installare Certificato Root (T1130), Task Schedulata (T1053)

Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Programma Threat Bounty per creare il tuo contenuto e condividerlo con la community TDM.