지난주 말, 아리엘 미야우엘 은 BLINDINGCAN 원격 액세스 트로이 목마를 탐지하기 위한 커뮤니티 위협 헌팅 규칙을 발표했습니다. 이 트로이 목마는 북한 정부 지원 해커들이 사용합니다: https://tdm.socprime.com/tdm/info/pi0B7x1SzQlU/FiBkEHQBSh4W_EKGcibk/?p=1
이 규칙은 멀웨어 분석 보고서 에 기반하여 최근 CISA 전문가들이 발표했습니다. 위협 행위자는 주로 미국 방위 및 항공우주 분야를 대상으로 한 사이버 스파이 활동에서 BLINDINGCAN RAT를 사용했습니다. 그들은 직원들에게 전자 메일과 소셜 네트워크를 통해 가짜 일자리 제안을 보냈으며 연구자들은 이 캠페인을 히든 코브라.
에게 귀속시켰습니다. 시스템 감염 후 적들은 새로운 트로이 목마를 사용하여 군사 및 에너지 핵심 기술을 수집했습니다. BLINDINGCAN RAT는 설치된 모든 디스크 정보, 운영 체제 버전 및 프로세서 정보, 로컬 IP 및 MAC 주소를 수집할 수 있습니다. 새로운 프로세스와 기본 스레드를 생성, 시작, 종료할 수 있으며, 파일을 검색, 읽기, 쓰기, 이동, 실행하고, 파일 또는 디렉터리의 타임스탬프를 가져오거나 수정할 수 있으며, 프로세스나 파일의 현재 디렉터리를 변경할 수 있습니다; 악성코드 및 악성 활동의 흔적을 제거할 수 있습니다.
규칙은 다음 플랫폼에 대한 번역을 가지고 있습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
전술: 실행, 방어 회피
기법: 서명된 바이너리 프록시 실행 (T1218)
SOC Prime TDM을 시도해보시겠습니까? 무료로 가입하세요. 또는 위협 현상금 프로그램에 참여하여 자체 콘텐츠를 제작하여 TDM 커뮤니티와 공유하세요.
