Conteúdo de Detecção: Backdoor RDAT

Na semana passada, pesquisadores publicaram detalhes dos ataques direcionados a telecomunicações do Oriente Médio realizados pelo APT34 (também conhecido como OilRig e Helix Kitten), e ferramentas atualizadas no arsenal deste grupo. Claro, os participantes do Programa Threat Bounty não passaram por isso e publicaram algumas regras para detectar o RDAT Backdoor, mas mais sobre isso abaixo.

APT34 está ativo desde pelo menos 2014, o grupo realiza reconhecimento alinhado com os interesses estratégicos do governo iraniano operando principalmente no Oriente Médio e direcionando-se para indústrias financeiras, governamentais, de energia, química, telecomunicações e outras. Em 2020, o grupo conduziu várias campanhas, caçando organizações governamentais nos Estados Unidos e modificando para este propósito ferramentas usadas em campanhas anteriores.

RDAT Backdoor também não é uma ferramenta completamente nova, APT34 já usou versões iniciais dela em 2017 e 2018. A nova versão do malware tem um novo canal C2 baseado em e-mail usado em combinação com esteganografia para exfiltrar dados. Adversários podem usá-lo para emitir o comando, ler o resultado e enviar os resultados para o servidor C&C; também é capaz de baixar e enviar arquivos via protocolo C&C selecionado.

Conteúdo de detecção para identificar essa ameaça:

“RDAT” Backdoor do Oilrig (detecção Sysmon) by Ariel Millahuel – https://tdm.socprime.com/tdm/info/k6BRV4W38EJc/xcmAgHMBQAH5UgbBf-WN/?p=1

Uma variante de OILRIG(RDAT Backdoor) by Emir Erdogan – https://tdm.socprime.com/tdm/info/at9qZwhXJDef/VfGCgHMBPeJ4_8xcKk9B/?p=1

As regras têm traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução, Movimento Lateral, Comando e Controle.

Técnicas: Cópia Remota de Arquivos (T1105), PowerShell (T1086)

Preparado para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhar com a comunidade TDM.