Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент BONDUPDATER
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
BONDUPDATER
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

BONDUPDATER

BONDUPDATER is a PowerShell backdoor used by OilRig. It was first observed in November 2017 during targeting of a Middle Eastern government organization, and an updated version was observed in August 2018 being used to target a government organization with spearphishing emails.(Citation: FireEye APT34 Dec 2017)(Citation: Palo Alto OilRig Sep 2018)
ID: S0360
Type: MALWARE
Platforms: Windows
Version: 1.2
Created: 18 Feb 2019
Last Modified: 09 Feb 2021

Techniques Used
Domain ID Name Use
Enterprise T1071 .004 Application Layer Protocol: DNS

BONDUPDATER can use DNS and TXT records within its DNS tunneling protocol for command and control.(Citation: Palo Alto OilRig Sep 2018)
Enterprise T1059 .001 Command and Scripting Interpreter: PowerShell

BONDUPDATER is written in PowerShell.(Citation: FireEye APT34 Dec 2017)(Citation: Palo Alto OilRig Sep 2018)
.003 Command and Scripting Interpreter: Windows Command Shell

BONDUPDATER can read batch commands in a file sent from its C2 server and execute them with cmd.exe.(Citation: Palo Alto OilRig Sep 2018)

Enterprise T1568 .002 Dynamic Resolution: Domain Generation Algorithms

BONDUPDATER uses a DGA to communicate with command and control servers.(Citation: FireEye APT34 Dec 2017)
Enterprise T1564 .003 Hide Artifacts: Hidden Window

BONDUPDATER uses -windowstyle hidden to conceal a PowerShell window that downloads a payload.(Citation: FireEye APT34 Dec 2017)
Enterprise T1053 .005 Scheduled Task/Job: Scheduled Task

BONDUPDATER persists using a scheduled task that executes every minute.(Citation: Palo Alto OilRig Sep 2018)

Groups That Use This Software
ID Name References
G0049 OilRig

(Citation: FireEye APT34 Dec 2017) (Citation: Palo Alto OilRig Sep 2018)

References

  1. Sardiwal, M, et al. (2017, December 7). New Targeted Attack in the Middle East by APT34, a Suspected Iranian Threat Group, Using CVE-2017-11882 Exploit. Retrieved December 20, 2017.
  2. Wilhoit, K. and Falcone, R. (2018, September 12). OilRig Uses Updated BONDUPDATER to Target Middle Eastern Government. Retrieved February 18, 2019.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.