Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент SombRAT
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
SombRAT
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

SombRAT

SombRAT is a modular backdoor written in C++ that has been used since at least 2019 to download and execute malicious payloads, including FIVEHANDS ransomware.(Citation: BlackBerry CostaRicto November 2020)(Citation: FireEye FiveHands April 2021)(Citation: CISA AR21-126A FIVEHANDS May 2021)
ID: S0615
Type: MALWARE
Platforms: Windows
Version: 1.2
Created: 26 May 2021
Last Modified: 05 Oct 2022

Techniques Used
Domain ID Name Use
Enterprise T1071 .004 Application Layer Protocol: DNS

SombRAT can communicate over DNS with the C2 server.(Citation: BlackBerry CostaRicto November 2020)(Citation: FireEye FiveHands April 2021)
Enterprise T1560 .003 Archive Collected Data: Archive via Custom Method

SombRAT has encrypted collected data with AES-256 using a hardcoded key.(Citation: BlackBerry CostaRicto November 2020)
Enterprise T1074 .001 Data Staged: Local Data Staging

SombRAT can store harvested data in a custom database under the %TEMP% directory.(Citation: BlackBerry CostaRicto November 2020)
Enterprise T1568 .002 Dynamic Resolution: Domain Generation Algorithms

SombRAT can use a custom DGA to generate a subdomain for C2.(Citation: BlackBerry CostaRicto November 2020)
Enterprise T1573 .001 Encrypted Channel: Symmetric Cryptography

SombRAT has encrypted its C2 communications with AES.(Citation: BlackBerry CostaRicto November 2020)
.002 Encrypted Channel: Asymmetric Cryptography

SombRAT can SSL encrypt C2 traffic.(Citation: BlackBerry CostaRicto November 2020)(Citation: FireEye FiveHands April 2021)(Citation: CISA AR21-126A FIVEHANDS May 2021)

Enterprise T1564 .010 Hide Artifacts: Process Argument Spoofing

SombRAT has the ability to modify its process memory to hide process command-line arguments.(Citation: FireEye FiveHands April 2021)
Enterprise T1070 .004 Indicator Removal: File Deletion

SombRAT has the ability to run cancel or closeanddeletestorage to remove all files from storage and delete the storage temp file on a compromised host.(Citation: BlackBerry CostaRicto November 2020)
Enterprise T1055 .001 Process Injection: Dynamic-link Library Injection

SombRAT can execute loadfromfile, loadfromstorage, and loadfrommem to inject a DLL from disk, storage, or memory respectively.(Citation: BlackBerry CostaRicto November 2020)

References

  1. CISA. (2021, May 6). Analysis Report (AR21-126A) FiveHands Ransomware. Retrieved June 7, 2021.
  2. McLellan, T. and Moore, J. et al. (2021, April 29). UNC2447 SOMBRAT and FIVEHANDS Ransomware: A Sophisticated Financial Threat. Retrieved June 2, 2021.
  3. The BlackBerry Research and Intelligence Team. (2020, November 12). The CostaRicto Campaign: Cyber-Espionage Outsourced. Retrieved May 24, 2021.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.