탐지 콘텐츠: RDAT 백도어

지난주, 연구원들이 발표했습니다 APT34(일명 OilRig 및 Helix Kitten)에 의해 수행된 중동 통신을 대상으로 한 공격의 세부 사항과 이 그룹의 무기에 추가된 도구를 가지고 있습니다. 물론, 위협 바운티 프로그램 참가자들은 이를 지나치지 않고 RDAT 백도어를 탐지하기 위한 몇 가지 규칙을 게시했지만, 이에 대한 자세한 내용은 아래에서 다루겠습니다.

APT34는 최소한 2014년부터 활동하고 있으며, 이 그룹은 주로 중동 지역에서 운영되며 금융, 정부, 에너지, 화학, 통신 및 기타 산업을 표적으로 하는 이란 정부의 전략적 이익과 일치하는 정찰을 수행합니다. 2020년 이 그룹은 여러 캠페인을수행했으며, 이를 위해 이전 캠페인에서 사용된 도구들을 수정하여 미국의 정부 조직을 사냥했습니다.

RDAT 백도어도 완전히 새로운 도구는 아닙니다. APT34는 이미 2017년과 2018년에 초기 버전을 사용했습니다. 새로운 버전의 악성코드는 데이터 유출을 위해 스테가노그래피와 결합하여 사용되는 새로운 이메일 기반 C2 채널을 가지고 있습니다. 적들은 이를 사용하여 명령을 내리고, 출력물을 읽으며, 결과를 C&C 서버에 보낼 수 있습니다; 또한 선택한 C&C 프로토콜을 통해 파일을 다운로드하고 업로드할 수 있습니다.

이 위협을 발견하기 위한 탐지 콘텐츠:

Oilirg의 “RDAT” 백도어 (Sysmon 탐지) by 아리엘 밀라후엘 – https://tdm.socprime.com/tdm/info/k6BRV4W38EJc/xcmAgHMBQAH5UgbBf-WN/?p=1

OILRIG(RDAT Backdoor)의 변형 by 에미르 에르도간 – https://tdm.socprime.com/tdm/info/at9qZwhXJDef/VfGCgHMBPeJ4_8xcKk9B/?p=1

규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행, 횡적 이동, 명령 및 제어.

기술: 원격 파일 복사 (T1105), PowerShell (T1086)

SOC Prime TDM을 직접 사용해 보시겠습니까? 무료로 가입하세요. 또는 Threat Bounty 프로그램에 참여하세요 자신만의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.