Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

DRATzarus

DRATzarus is a remote access tool (RAT) that has been used by Lazarus Group to target the defense and aerospace organizations globally since at least summer 2020. DRATzarus shares similarities with Bankshot, which was used by Lazarus Group in 2017 to target the Turkish financial sector.(Citation: ClearSky Lazarus Aug 2020)
ID: S0694
Type: MALWARE
Platforms: Windows
Version: 1.1
Created: 24 Mar 2022
Last Modified: 17 Mar 2023

Techniques Used

Domain ID Name Use
Enterprise T1071 .001 Application Layer Protocol: Web Protocols

DRATzarus can use HTTP or HTTPS for C2 communications.(Citation: ClearSky Lazarus Aug 2020)

Enterprise T1036 .005 Masquerading: Match Legitimate Name or Location

DRATzarus has been named `Flash.exe`, and its dropper has been named `IExplorer`.(Citation: ClearSky Lazarus Aug 2020)

Enterprise T1027 .002 Obfuscated Files or Information: Software Packing

DRATzarus's dropper can be packed with UPX.(Citation: ClearSky Lazarus Aug 2020)

Enterprise T1497 .003 Virtualization/Sandbox Evasion: Time Based Evasion

DRATzarus can use the `GetTickCount` and `GetSystemTimeAsFileTime` API calls to measure function timing.(Citation: ClearSky Lazarus Aug 2020) DRATzarus can also remotely shut down into sleep mode under specific conditions to evade detection.(Citation: ClearSky Lazarus Aug 2020)

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.