No final da semana passada, Ariel Millahuel lançou uma regra de caça a ameaças comunitária para detectar o Trojan de Acesso Remoto BLINDINGCAN que é usado por hackers patrocinados pelo estado norte-coreano: https://tdm.socprime.com/tdm/info/pi0B7x1SzQlU/FiBkEHQBSh4W_EKGcibk/?p=1
A regra é baseada em um relatório de análise de malware recentemente publicado por especialistas da CISA. O ator de ameaça usou o BLINDINGCAN RAT em uma campanha de ciberespioagem direcionada principalmente aos setores de defesa e aeroespacial dos EUA. Eles enviaram ofertas de emprego falsas aos funcionários por e-mail e redes sociais, e os pesquisadores conseguiram atribuir esta campanha ao Hidden Cobra.
Após infectar um sistema, os adversários coletaram tecnologias chave militares e energéticas usando seu novo trojan com múltiplas funções. O BLINDINGCAN RAT é capaz de recuperar informações sobre todos os discos instalados, versão do sistema operacional e informações do processador, endereços IP locais e MAC. Ele pode criar, iniciar e terminar um novo processo e seu thread primário; buscar, ler, escrever, mover e executar arquivos; obter e modificar timestamps de arquivos ou diretórios; alterar o diretório atual para um processo ou arquivo; remover traços de malware e atividade maliciosa.
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Execução, Evasão de Defesa
Técnicas: Execução de Proxy de Binário Assinado (T1218)
Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
