오늘, 위협 사냥 규칙 카테고리에서 저희는 여러분께 Ariel Millahuel에 의해 개발된 Redaman RAT를 탐지하는 새로운 규칙을 소개하게 되어 기쁩니다: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1
Redaman은 피싱 캠페인에 의해 배포되는 일종의 뱅킹 트로이목마입니다. 2015년에 처음 발견되어 RTM 뱅킹 트로이목마로 보고되었고, 새로운 버전의 Redaman은 2017년과 2018년에 나타났습니다. 2019년 9월, 연구자들은 새로운 버전의 이 악성코드를 확인했습니다 이 악성코드는 이전에 본 적이 없는 기법을 사용하여 포니 C&C 서버 IP 주소를 비트코인 블록체인 내에 숨기는 방법을 이용합니다: 트로이목마는 비트코인 블록체인에 연결하고 트랜잭션을 연결하여 숨겨진 C&C 서버를 찾습니다.
최근 발견된 Radaman 트로이목마의 버전은 새로운 행동을 보입니다. 이는 루트 인증서를 수정하고 rundll32 실행을 악용하여 악성 파일을 배포하는 것과 관련이 있습니다. 이 악성코드는 종종 악성 스팸 캠페인에 사용되므로, 작성자들은 지속적으로 개선하고 새로운 기술을 가르치고 있습니다.
이 규칙은 다음 플랫폼에 대한 번역을 포함하고 있습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
전략: 실행, 방어 회피, 지속성, 권한 상승
기술: 루트 인증서 설치 (T1130), 예약된 작업 (T1053)
SOC Prime TDM을 시도할 준비가 되셨나요? 무료로 가입하세요. 또는 위협 현상금 프로그램에 참여하세요 자신의 콘텐츠를 제작하여 TDM 커뮤니티와 공유할 수 있습니다.
