BLINDINGCAN RAT

先週末、 アリエル・ミラウェル 北朝鮮の国家支援ハッカーが使用するBLINDINGCANリモートアクセス型トロイの木馬を検出するためのコミュニティの脅威ハンティングルールを公開しました: https://tdm.socprime.com/tdm/info/pi0B7x1SzQlU/FiBkEHQBSh4W_EKGcibk/?p=1

このルールは マルウェア分析レポート CISAの専門家によって最近公開されました。脅威アクターは、主に米国の防衛および航空宇宙分野を標的としたサイバー諜報活動キャンペーンでBLINDINGCAN RATを使用しました。彼らは、従業員にメールやソーシャルネットワークを通じて偽の求人情報を送り、研究者たちはこのキャンペーンを Hidden Cobra.

に帰属させることができました。システムに感染した後、敵は新しいトロイの木馬を使って重要な軍事およびエネルギー技術を収集しました。BLINDINGCAN RATは、インストールされたすべてのディスク、オペレーティングシステムのバージョンとプロセッサ情報、ローカルIPアドレスおよびMACアドレスに関する情報を取得できます。新しいプロセスとその主要スレッドを作成、開始、終了することができ、ファイルを検索、読み取り、書き込み、移動、実行することができます。また、ファイルまたはディレクトリのタイムスタンプを取得および変更し、プロセスまたはファイルの現在のディレクトリを変更し、マルウェアおよび悪意のある活動の痕跡を削除することができます。

このルールには次のプラットフォーム向けの翻訳があります:

SIEM: Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、RSA NetWitness、LogPoint、Humio

EDR: Carbon Black、Elastic Endpoint

MITRE ATT&CK: 

戦術: 実行、防御回避

技術: 署名されたバイナリプロキシの実行 (T1218)

SOC Prime TDMを試してみませんか？ 無料で登録. または Threat Bounty Programに参加して 独自のコンテンツを作成し、TDMコミュニティと共有してください。