위협 사냥 규칙: 레다만 RAT

[post-views]
7월 30, 2020 · 2 분 읽기
위협 사냥 규칙: 레다만 RAT

오늘, 위협 사냥 규칙 카테고리에서 저희는 여러분께 Ariel Millahuel에 의해 개발된 Redaman RAT를 탐지하는 새로운 규칙을 소개하게 되어 기쁩니다: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1

Redaman은 피싱 캠페인에 의해 배포되는 일종의 뱅킹 트로이목마입니다. 2015년에 처음 발견되어 RTM 뱅킹 트로이목마로 보고되었고, 새로운 버전의 Redaman은 2017년과 2018년에 나타났습니다.  2019년 9월, 연구자들은 새로운 버전의 이 악성코드를 확인했습니다 이 악성코드는 이전에 본 적이 없는 기법을 사용하여 포니 C&C 서버 IP 주소를 비트코인 블록체인 내에 숨기는 방법을 이용합니다: 트로이목마는 비트코인 블록체인에 연결하고 트랜잭션을 연결하여 숨겨진 C&C 서버를 찾습니다.

최근 발견된 Radaman 트로이목마의 버전은 새로운 행동을 보입니다. 이는 루트 인증서를 수정하고 rundll32 실행을 악용하여 악성 파일을 배포하는 것과 관련이 있습니다. 이 악성코드는 종종 악성 스팸 캠페인에 사용되므로, 작성자들은 지속적으로 개선하고 새로운 기술을 가르치고 있습니다.

 

이 규칙은 다음 플랫폼에 대한 번역을 포함하고 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

전략: 실행, 방어 회피, 지속성, 권한 상승

기술: 루트 인증서 설치 (T1130), 예약된 작업 (T1053)

 

SOC Prime TDM을 시도할 준비가 되셨나요? 무료로 가입하세요. 또는 위협 현상금 프로그램에 참여하세요 자신의 콘텐츠를 제작하여 TDM 커뮤니티와 공유할 수 있습니다.

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물

실행 전술 | TA0002
블로그, 최신 위협 — 5 분 읽기
실행 전술 | TA0002
Daryna Olyniychuk
Evilnum 그룹의 PyVil RAT
블로그, 최신 위협 — 2 분 읽기
Evilnum 그룹의 PyVil RAT
Eugene Tkachenko