Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент BackConfig
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
BackConfig
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

BackConfig

BackConfig is a custom Trojan with a flexible plugin architecture that has been used by Patchwork.(Citation: Unit 42 BackConfig May 2020)
ID: S0475
Type: MALWARE
Platforms: Windows
Version: 1.0
Created: 17 Jun 2020
Last Modified: 29 Jun 2020

Techniques Used
Domain ID Name Use
Enterprise T1071 .001 Application Layer Protocol: Web Protocols

BackConfig has the ability to use HTTPS for C2 communiations.(Citation: Unit 42 BackConfig May 2020)
Enterprise T1059 .003 Command and Scripting Interpreter: Windows Command Shell

BackConfig can download and run batch files to execute commands on a compromised host.(Citation: Unit 42 BackConfig May 2020)
.005 Command and Scripting Interpreter: Visual Basic

BackConfig has used VBS to install its downloader component and malicious documents with VBA macro code.(Citation: Unit 42 BackConfig May 2020)

Enterprise T1564 .001 Hide Artifacts: Hidden Files and Directories

BackConfig has the ability to set folders or files to be hidden from the Windows Explorer default view.(Citation: Unit 42 BackConfig May 2020)
Enterprise T1070 .004 Indicator Removal: File Deletion

BackConfig has the ability to remove files and folders related to previous infections.(Citation: Unit 42 BackConfig May 2020)
Enterprise T1036 .005 Masquerading: Match Legitimate Name or Location

BackConfig has hidden malicious payloads in %USERPROFILE%\Adobe\Driver\dwg\ and mimicked the legitimate DHCP service binary.(Citation: Unit 42 BackConfig May 2020)
Enterprise T1137 .001 Office Application Startup: Office Template Macros

BackConfig has the ability to use hidden columns in Excel spreadsheets to store executable files or commands for VBA macros.(Citation: Unit 42 BackConfig May 2020)
Enterprise T1053 .005 Scheduled Task/Job: Scheduled Task

BackConfig has the ability to use scheduled tasks to repeatedly execute malicious payloads on a compromised host.(Citation: Unit 42 BackConfig May 2020)
Enterprise T1553 .002 Subvert Trust Controls: Code Signing

BackConfig has been signed with self signed digital certificates mimicking a legitimate software company.(Citation: Unit 42 BackConfig May 2020)
Enterprise T1204 .001 User Execution: Malicious Link

BackConfig has compromised victims via links to URLs hosting malicious content.(Citation: Unit 42 BackConfig May 2020)

Groups That Use This Software
ID Name References
G0040 Patchwork

(Citation: Unit 42 BackConfig May 2020)

References

  1. Hinchliffe, A. and Falcone, R. (2020, May 11). Updated BackConfig Malware Targeting Government and Military Organizations in South Asia. Retrieved June 17, 2020.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.