検出コンテンツ: RDAT バックドア

先週、研究者たちは 発表しました 中東の通信業界を標的とした攻撃の詳細をAPT34（別名OilRigおよびHelix Kitten）によって実行され、同グループの兵器庫にあるツールが更新されました。当然、Threat Bounty Programの参加者はそのまま通ることなく、RDATバックドアを検出するためのルールを2、3発表しましたが、その詳細は後に記述します。

APT34は少なくとも2014年から活動しており、主に中東で運営されるイラン政府の戦略的利益に沿った偵察を行い、金融、政府、エネルギー、化学、通信、その他の産業を標的としています。2020年には、同グループは いくつかのキャンペーンを実施し、アメリカの政府機関を追跡し、以前のキャンペーンで使われたツールをこの目的のために修正しました。

RDATバックドアも完全に新しいツールというわけではなく、APT34は2017年と2018年に既にその初期バージョンを使用していました。このマルウェアの新しいバージョンでは、データを流出させるためにステガノグラフィと組み合わせて使用される新しい電子メールベースのC2チャネルが導入されました。攻撃者はこれを使用してコマンドを発行し、出力を読み取り、C＆Cサーバーに結果を送信することができます。また、選択したC＆Cプロトコルを介してファイルをダウンロードおよびアップロードすることも可能です。

この脅威を発見するための検出コンテンツ：

OilRigの”RDAT “バックドア（Sysmon検出） by アリエル・ミラウェル – https://tdm.socprime.com/tdm/info/k6BRV4W38EJc/xcmAgHMBQAH5UgbBf-WN/?p=1

OILRIGのバリアント（RDATバックドア） by エミル・エルドアン – https://tdm.socprime.com/tdm/info/at9qZwhXJDef/VfGCgHMBPeJ4_8xcKk9B/?p=1

以下のプラットフォーム用の翻訳ルールがあります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 実行、横方向移動、指揮とコントロール

技術: リモートファイルコピー (T1105), PowerShell (T1086)

SOC Prime TDMを試してみる準備はできましたか？ 無料でサインアップしてください。 または Threat Bounty Programに参加して 独自のコンテンツを作成し、TDMコミュニティと共有しましょう。