Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Хакерские группировки
  • RTM (Read The Manual)

RTM (Read The Manual)

Атакуемые отрасли:
  • Государственный сектор
  • Финансовый сектор
  • Энергетика
  • Промышленный сектор
  • Информационные технологии

Содержание

  • Общее описание
  • Инструменты
  • Атакуемые отрасли
  • Атакуемые страны
  • Альтернативные названия группы
  • Отчеты Positive Technologies и других исследователей
  • Тактики из MITRE ATT&CK, использованные группой

Цели:

  • Кража денежных средств
  • Кража конфиденциальных данных
  • Кража учетных записей

Общее описание

Киберпреступная группа RTM начала свою активность в 2015 году и атакует организации из различных отраслей с целью кражи денежных средств со счетов, кражи конфиденциальных документов, учетных записей. Группа использует вредоносное ПО (ВПО) собственной разработки. ВПО группы не имеет статического контрольного сервера: оно получает его через блокчейн.

Инструменты

  • RTM downloader
  • RTM backdoor
  • Pony stealer
  • Azorult stealer

Атакуемые отрасли

  • Финансовый сектор
  • Энергетика
  • Государственный сектор
  • Информационные технологии
  • Промышленный сектор

Атакуемые страны

  • Россия
  • Белоруссия
  • Казахстан

Альтернативные названия группы

  • Отсутствуют

Отчеты Positive Technologies и других исследователей

  • https://www.welivesecurity.com/wp-content/uploads/2017/02/Read-The-Manual.pdf
  • https://habr.com/ru/company/pt/blog/460857/
  • https://broadcast.comdi.com/watch/r0uikvnq
  • https://bi.zone/upload/for_download/Threat_Zone_Research_RTM.pdf 
  • https://www.group-ib.com/blog/rtm

Тактики из MITRE ATT&CK, использованные группой

ID Название Описание
Initial Access
T1566.001 Phishing: Spearphishing Attachment Группа RTM рассылает электронные письма с вредоносными вложениями в формате RAR
Execution
T1059.003 Command and Scripting Interpreter: Windows Command Shell Загрузчик группы RTM использует cmd.exe для удаления загрузчика после его запуска
T1204.002 User Execution: Malicious File Группа RTM пытается заставить пользователей запускать вредоносные вложения, доставляемые по электронной почте
T1059.005 Command and Scripting Interpreter: Visual Basic Одна из версий загрузчика группы RTM в некоторых атаках использует скрипт Visual Basic для загрузки основной полезной нагрузки
T1053.005 Scheduled Task/Job: Scheduled Task Основной пейлоад группы RTM может запускаться через планировщик задач
T1106 Native API Основной пейлоад группы RTM использует функцию LoadLibrary для запуска плагинов
Persistence
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder Основной пейлоад группы RTM может закрепиться через реестр
T1053.005 Scheduled Task/Job: Scheduled Task Основной пейлоад группы RTM может закрепиться через планировщик задач
Defense Evasion
T1140 Deobfuscate/Decode Files or Information Загружаемый основной троян зашифрован 4-байтным алгоритмом XOR
T1562.001 Impair Defenses: Disable or Modify Tools Основной троян группы RTM пытается отключить Windows Defender
T1564.001 Hide Artifacts: Hidden Files and Directories Основной троян группы RTM сохраняется на диск с атрибутами системного файла
T1070.004 Indicator Removal on Host: File Deletion Загрузчик группы RTM удаляется после выполнения основных функций
T1027 Obfuscated Files or Information Для защиты своего ВПО группа RTM использует различные упаковщики (CustomRTMPacker, Rex3Packer, HellowinPacker)
T1218.011 Signed Binary Proxy Execution: Rundll32 Загрузчик группы RTM использует rundll32.exe для запуска основного трояна
T1112 Modify Registry Группа RTM модифицирует значения некоторых ключей реестра
Credential Access
T1056.001 Input Capture: Keylogging Группа RTM использует кейлоггер для похищения учетных записей
Discovery
T1217 Browser Bookmark Discovery ВПО группы RTM ищет сайты ДБО в открытых вкладках браузера
T1497.001 Virtualization/Sandbox Evasion: System Checks ВПО группы RTM пытается найти следы различных песочниц в исполняемой среде
Collection
T1005 Data from Local System Группа RTM крадет документы со скомпрометированных машин
T1056.001 Input Capture: Keylogging Группа RTM использует кейлоггер для сбора данных
T1113 Screen Capture Основной троян группы RTM начинает делать скриншоты и отсылать их на контрольный сервер, если в браузере открыта система ДБО
Command And Control
T1105 Ingress Tool Transfer Группа RTM загружает на зараженную машину основной пейлоад и модули с контрольного сервера
T1573.001 Encrypted Channel: Symmetric Cryptography ВПО группы RTM использует собственный алгоритм шифрования, основанный на RC4, для передачи данных на контрольный сервер
T1102.001 Web Service: Dead Drop Resolver ВПО группы RTM использует блокчейн для получения адреса контрольного сервера

Группировки, атакующие такие же отрасли:

  • APT31
  • APT32
  • Bronze Union
  • Calypso
  • ChamelGang
Поделиться:
Ссылка скопирована
Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта