Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент RATANKBA
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
RATANKBA
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

RATANKBA

RATANKBA is a remote controller tool used by Lazarus Group. RATANKBA has been used in attacks targeting financial institutions in Poland, Mexico, Uruguay, the United Kingdom, and Chile. It was also seen used against organizations related to telecommunications, management consulting, information technology, insurance, aviation, and education. RATANKBA has a graphical user interface to allow the attacker to issue jobs to perform on the infected machines. (Citation: Lazarus RATANKBA) (Citation: RATANKBA)
ID: S0241
Type: MALWARE
Platforms: Windows
Version: 1.1
Created: 17 Oct 2018
Last Modified: 02 Sep 2020

Techniques Used
Domain ID Name Use
Enterprise T1087 .001 Account Discovery: Local Account

RATANKBA uses the net user command.(Citation: RATANKBA)
Enterprise T1071 .001 Application Layer Protocol: Web Protocols

RATANKBA uses HTTP/HTTPS for command and control communication.(Citation: Lazarus RATANKBA)(Citation: RATANKBA)
Enterprise T1059 .001 Command and Scripting Interpreter: PowerShell

There is a variant of RATANKBA that uses a PowerShell script instead of the traditional PE form.(Citation: Lazarus RATANKBA)(Citation: RATANKBA)
.003 Command and Scripting Interpreter: Windows Command Shell

RATANKBA uses cmd.exe to execute commands.(Citation: Lazarus RATANKBA)(Citation: RATANKBA)

Enterprise T1055 .001 Process Injection: Dynamic-link Library Injection

RATANKBA performs a reflective DLL injection using a given pid.(Citation: Lazarus RATANKBA)(Citation: RATANKBA)

Groups That Use This Software
ID Name References
G0032 Lazarus Group

(Citation: Lazarus RATANKBA)

References

  1. Trend Micro. (2017, February 27). RATANKBA: Delving into Large-scale Watering Holes against Enterprises. Retrieved May 22, 2018.
  2. Lei, C., et al. (2018, January 24). Lazarus Campaign Targeting Cryptocurrencies Reveals Remote Controller Tool, an Evolved RATANKBA, and More. Retrieved May 22, 2018.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.