Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Rifdoor
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Rifdoor
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Rifdoor

Rifdoor is a remote access trojan (RAT) that shares numerous code similarities with HotCroissant.(Citation: Carbon Black HotCroissant April 2020)
ID: S0433
Type: MALWARE
Platforms: Windows
Version: 1.0
Created: 05 May 2020
Last Modified: 08 May 2020

Techniques Used
Domain ID Name Use
Enterprise T1547 .001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

Rifdoor has created a new registry entry at HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Run\Graphics with a value of C:\ProgramData\Initech\Initech.exe /run.(Citation: Carbon Black HotCroissant April 2020)
Enterprise T1573 .001 Encrypted Channel: Symmetric Cryptography

Rifdoor has encrypted command and control (C2) communications with a stream cipher.(Citation: Carbon Black HotCroissant April 2020)
Enterprise T1027 .001 Obfuscated Files or Information: Binary Padding

Rifdoor has added four additional bytes of data upon launching, then saved the changed version as C:\ProgramData\Initech\Initech.exe.(Citation: Carbon Black HotCroissant April 2020)
Enterprise T1566 .001 Phishing: Spearphishing Attachment

Rifdoor has been distributed in e-mails with malicious Excel or Word documents.(Citation: Carbon Black HotCroissant April 2020)
Enterprise T1204 .002 User Execution: Malicious File

Rifdoor has been executed from malicious Excel or Word documents containing macros.(Citation: Carbon Black HotCroissant April 2020)

Groups That Use This Software
ID Name References
G0138 Andariel

(Citation: AhnLab Andariel Subgroup of Lazarus June 2018)

References

  1. Knight, S.. (2020, April 16). VMware Carbon Black TAU Threat Analysis: The Evolution of Lazarus. Retrieved May 1, 2020.
  2. AhnLab. (2018, June 23). Targeted attacks by Andariel Threat Group, a subgroup of the Lazarus. Retrieved September 29, 2021.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.