BLINDINGCAN RAT

[post-views]
Agosto 25, 2020 · 2 min de leitura
BLINDINGCAN RAT

No final da semana passada, Ariel Millahuel lançou uma regra de caça a ameaças comunitária para detectar o Trojan de Acesso Remoto BLINDINGCAN que é usado por hackers patrocinados pelo estado norte-coreano: https://tdm.socprime.com/tdm/info/pi0B7x1SzQlU/FiBkEHQBSh4W_EKGcibk/?p=1

A regra é baseada em um relatório de análise de malware recentemente publicado por especialistas da CISA. O ator de ameaça usou o BLINDINGCAN RAT em uma campanha de ciberespioagem direcionada principalmente aos setores de defesa e aeroespacial dos EUA. Eles enviaram ofertas de emprego falsas aos funcionários por e-mail e redes sociais, e os pesquisadores conseguiram atribuir esta campanha ao Hidden Cobra.

Após infectar um sistema, os adversários coletaram tecnologias chave militares e energéticas usando seu novo trojan com múltiplas funções. O BLINDINGCAN RAT é capaz de recuperar informações sobre todos os discos instalados, versão do sistema operacional e informações do processador, endereços IP locais e MAC. Ele pode criar, iniciar e terminar um novo processo e seu thread primário; buscar, ler, escrever, mover e executar arquivos; obter e modificar timestamps de arquivos ou diretórios; alterar o diretório atual para um processo ou arquivo; remover traços de malware e atividade maliciosa.

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução, Evasão de Defesa

Técnicas:  Execução de Proxy de Binário Assinado (T1218)

 

Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.