Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Revenge RAT

Revenge RAT is a freely available remote access tool written in .NET (C#).(Citation: Cylance Shaheen Nov 2018)(Citation: Cofense RevengeRAT Feb 2019)
ID: S0379
Type: MALWARE
Platforms: Windows
Version: 1.2
Created: 02 May 2019
Last Modified: 02 Oct 2023

Techniques Used

Domain ID Name Use
Enterprise T1547 .004 Boot or Logon Autostart Execution: Winlogon Helper DLL

Revenge RAT creates a Registry key at HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell to survive a system reboot.(Citation: Cylance Shaheen Nov 2018)

Enterprise T1059 .001 Command and Scripting Interpreter: PowerShell

Revenge RAT uses the PowerShell command Reflection.Assembly to load itself into memory to aid in execution.(Citation: Cofense RevengeRAT Feb 2019)

.003 Command and Scripting Interpreter: Windows Command Shell

Revenge RAT uses cmd.exe to execute commands and run scripts on the victim's machine.(Citation: Cofense RevengeRAT Feb 2019)

Enterprise T1132 .001 Data Encoding: Standard Encoding

Revenge RAT uses Base64 to encode information sent to the C2 server.(Citation: Cylance Shaheen Nov 2018)

Enterprise T1056 .001 Input Capture: Keylogging

Revenge RAT has a plugin for keylogging.(Citation: Cylance Shaheen Nov 2018)(Citation: Cofense RevengeRAT Feb 2019)

Enterprise T1021 .001 Remote Services: Remote Desktop Protocol

Revenge RAT has a plugin to perform RDP access.(Citation: Cylance Shaheen Nov 2018)

Enterprise T1053 .005 Scheduled Task/Job: Scheduled Task

Revenge RAT schedules tasks to run malicious scripts at different intervals.(Citation: Cofense RevengeRAT Feb 2019)

Enterprise T1218 .005 System Binary Proxy Execution: Mshta

Revenge RAT uses mshta.exe to run malicious scripts on the system.(Citation: Cofense RevengeRAT Feb 2019)

Enterprise T1102 .002 Web Service: Bidirectional Communication

Revenge RAT used blogpost.com as its primary command and control server during a campaign.(Citation: Cofense RevengeRAT Feb 2019)

Groups That Use This Software

ID Name References
G1018 TA2541

(Citation: Proofpoint TA2541 February 2022)

G0089 The White Company

(Citation: Cylance Shaheen Nov 2018)

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.