RTM (Read The Manual)

Содержание

Цели:

Кража денежных средств
Кража конфиденциальных данных
Кража учетных записей

Общее описание

Киберпреступная группа RTM начала свою активность в 2015 году и атакует организации из различных отраслей с целью кражи денежных средств со счетов, кражи конфиденциальных документов, учетных записей. Группа использует вредоносное ПО (ВПО) собственной разработки. ВПО группы не имеет статического контрольного сервера: оно получает его через блокчейн.

Инструменты

RTM downloader
RTM backdoor
Pony stealer
Azorult stealer

Атакуемые отрасли

Финансовый сектор
Энергетика
Государственный сектор
Информационные технологии
Промышленный сектор

Атакуемые страны

Россия
Белоруссия
Казахстан

Альтернативные названия группы

Отсутствуют

Отчеты Positive Technologies и других исследователей

Тактики из MITRE ATT&CK, использованные группой

ID	Название	Описание
Initial Access
T1566.001	Phishing: Spearphishing Attachment	Группа RTM рассылает электронные письма с вредоносными вложениями в формате RAR
Execution
T1059.003	Command and Scripting Interpreter: Windows Command Shell	Загрузчик группы RTM использует cmd.exe для удаление загрузчика после его запуска
T1204.002	User Execution: Malicious File	Группа RTM пытается заставить пользователей запускать вредоносные вложения, доставляемые по электронной почте
T1059.005	Command and Scripting Interpreter: Visual Basic	Одна из версий загрузчика группы RTM в некоторых атаках использует VBS-скрипт для загрузки основной полезной нагрузки
T1053.005	Scheduled Task/Job: Scheduled Task	Основной пейлоад группы RTM может запускаться через планировщик задач
T1106	Native API	Основной пейлоад группы RTM использует функцию LoadLibrary для запуска плагинов
Persistence
T1547.001	Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder	Основной пейлоад группы RTM может закрепиться через реестр
T1053.005	Scheduled Task/Job: Scheduled Task	Основной пейлоад группы RTM может закрепиться через планировщик задач
Defense Evasion
T1140	Deobfuscate/Decode Files or Information	Загружаемый основной троян зашифрован 4-байтным алгоритмом XOR
T1562.001	Impair Defenses: Disable or Modify Tools	Основной троян группы RTM пытается отключить Windows Defender
T1564.001	Hide Artifacts: Hidden Files and Directories	Основной троян группы RTM сохраняется на диск с атрибутами системного файла
T1070.004	Indicator Removal on Host: File Deletion	Загрузчик группы RTM удаляется после выполнения основных функций
T1027	Obfuscated Files or Information	Для защиты своего ВПО группа RTM использует различные упаковщики (CustomRTMPacker, Rex3Packer, HellowinPacker)
T1218.011	Signed Binary Proxy Execution: Rundll32	Загрузчик группы RTM использует rundll32.exe для запуска основного трояна
T1112	Modify Registry	Группа RTM модифицирует значения некоторых ключей реестра
Credential Access
T1056.001	Input Capture: Keylogging	Группа RTM использует кейлоггер для похищения учетных записей
Discovery
T1217	Browser Bookmark Discovery	ВПО группы RTM ищет сайты ДБО в открытых вкладках браузера
T1497.001	Virtualization/Sandbox Evasion: System Checks	ВПО группы RTM пытается найти следы различных песочниц в исполняемой среде
Collection
T1005	Data from Local System	Группа RTM крадет документы со скомпрометированных машин
T1056.001	Input Capture: Keylogging	Группа RTM использует кейлоггер для сбора данных
T1113	Screen Capture	Основной троян группы RTM начинает делать скриншоты и отсылать их на контрольный сервер, если в браузере открыта система ДБО
Command And Control
T1105	Ingress Tool Transfer	Группа RTM загружает на зараженную машину основной пейлоад и модули с контрольного сервера
T1573.001	Encrypted Channel: Symmetric Cryptography	ВПО группы RTM использует собственный алгоритм шифрования основанный на RC4 для передачи данных на контрольный сервер
T1102.001	Web Service: Dead Drop Resolver	ВПО группы RTM использует блокчейн для получения адреса контрольного сервера