Conteúdo de Detecção: Backdoor RDAT

Blog

Julho 27, 2020

2 min de leitura

Conteúdo de Detecção: Backdoor RDAT

Eugene Tkachenko
Eugene Tkachenko Líder do Programa Comunitário

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Inscreva-se no Resumo Semanal

Exclusivo para usuários SOC Prime

Newsletter Icon

Na semana passada, pesquisadores publicaram detalhes dos ataques direcionados a telecomunicações do Oriente Médio realizados pelo APT34 (também conhecido como OilRig e Helix Kitten), e ferramentas atualizadas no arsenal deste grupo. Claro, os participantes do Programa Threat Bounty não passaram por isso e publicaram algumas regras para detectar o RDAT Backdoor, mas mais sobre isso abaixo.

APT34 está ativo desde pelo menos 2014, o grupo realiza reconhecimento alinhado com os interesses estratégicos do governo iraniano operando principalmente no Oriente Médio e direcionando-se para indústrias financeiras, governamentais, de energia, química, telecomunicações e outras. Em 2020, o grupo conduziu várias campanhas, caçando organizações governamentais nos Estados Unidos e modificando para este propósito ferramentas usadas em campanhas anteriores.

RDAT Backdoor também não é uma ferramenta completamente nova, APT34 já usou versões iniciais dela em 2017 e 2018. A nova versão do malware tem um novo canal C2 baseado em e-mail usado em combinação com esteganografia para exfiltrar dados. Adversários podem usá-lo para emitir o comando, ler o resultado e enviar os resultados para o servidor C&C; também é capaz de baixar e enviar arquivos via protocolo C&C selecionado.

Conteúdo de detecção para identificar essa ameaça:

“RDAT” Backdoor do Oilrig (detecção Sysmon) by Ariel Millahuelhttps://tdm.socprime.com/tdm/info/k6BRV4W38EJc/xcmAgHMBQAH5UgbBf-WN/?p=1

Uma variante de OILRIG(RDAT Backdoor) by Emir Erdoganhttps://tdm.socprime.com/tdm/info/at9qZwhXJDef/VfGCgHMBPeJ4_8xcKk9B/?p=1

 

As regras têm traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Táticas: Execução, Movimento Lateral, Comando e Controle.

Técnicas: Cópia Remota de Arquivos (T1105), PowerShell (T1086)


Preparado para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhar com a comunidade TDM.

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Cadastre-se Gratuitamente Agendar uma Reunião

More Blog Articles

Confluent Sigma: Guia de Solução Open-Source para Engenheiros de Detecção 15 min de leitura Sigma Confluent Sigma: Guia de Solução Open-Source para Engenheiros de Detecção by Daryna Olyniychuk Acessar Funcionalidade do Uncoder AI via API 2 min de leitura Plataforma SOC Prime Acessar Funcionalidade do Uncoder AI via API by Steven Edwards Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI 2 min de leitura Plataforma SOC Prime Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI by Steven Edwards