SOC Prime Bias: Kritisch

23 Dez. 2025 13:26
newspaper icon Cyble

Mehrstufige Tarnung: Enttarnung des Loaders in gezielten E-Mail-Kampagnen

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Mehrstufige Tarnung: Enttarnung des Loaders in gezielten E-Mail-Kampagnen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Ein weit verbreiteter Loader wird von mehreren Bedrohungsakteuren umfunktioniert, um verschiedene RATs und Informationsdiebe über Phishing-E-Mails mit bewaffneten JavaScript-, PowerShell-, LNK- und ZIP-Anhängen zu liefern. Der Loader kombiniert Steganografie, reflektives Laden, Process Hollowing und eine aufkommende UAC-Umgehungsmethode, um eine dateilose Ausführung zu ermöglichen und Privilegien zu erhöhen. Es wurde eine Aktivität beobachtet, die auf Produktions- und Regierungseinrichtungen in Europa und dem Nahen Osten abzielt, mit dem offensichtlichen Ziel, industrielle Daten und Anmeldedaten zu stehlen.

Untersuchung

Cyble Research and Intelligence Labs analysierte die Lieferkette und skizzierte einen vierstufigen Umgehungsworkflow. Er beginnt mit einem obfuskierten JavaScript-Stager, schwenkt zu einem PowerShell-Steganografie-Loader, missbraucht eine trojanisierte TaskScheduler-Bibliothek und gipfelt in der Payload-Injektion in RegAsm.exe. Die Endstufe der Malware ist PureLog Stealer, das Browser-Anmeldedaten, Kryptowährungs-Wallet-Daten und Host-/Systeminformationen zur Exfiltration sammelt.

Minderung

Nutzen Sie erweiterte E-Mail-Schutzmaßnahmen mit Sandbox-Detonation, blockieren Sie die Skriptausführung von per E-Mail zugestellten Inhalten, erzwingen Sie den PowerShell Constrained Language Mode und überwachen Sie auf Process Hollowing legitimer Windows-Binaries. Fügen Sie Erkennung für Steganografie in Bilddateien hinzu und optimieren Sie EDR-Regeln, um reflektierendes .NET-Assembly-Laden und UAC-Umgehungsmuster, die mit dieser Loader-Kette verbunden sind, zu erkennen.

Reaktion

Wenn Indikatoren erscheinen, isolieren Sie den Endpunkt, stoppen Sie verdächtige PowerShell- und WMI-Aktivitäten, erfassen Sie Speicherabbilder und suchen Sie nach reflektierenden .NET-Artefakten und injizierten RegAsm.exe-Prozessen. Setzen Sie möglicherweise compromittierte Anmeldedaten zurück und blockieren Sie die zugehörigen bösartigen Domains und IP-Adressen, um eine erneute Infektion und seitliche Bewegungen zu verhindern.

„graph TB %% Class definitions classDef action fill:#99ccff %% Node definitions act_phishing[„<b>Action</b> – <b>T1566.001 Phishing Attachment</b><br /><b>Description</b>: Send malicious email attachment that exploits Office vulnerability.“] class act_phishing action act_exploit[„<b>Action</b> – <b>T1203 Exploitation for Client Execution</b> (CVEu20112017u201111882)<br /><b>Description</b>: Trigger vulnerability in Microsoft Office to execute code.“] class act_exploit action act_obfuscate[„<b>Action</b> – <b>T1027 Obfuscated Files or Information</b><br /><b>Description</b>: Load obfuscated JavaScript or PowerShell to hide malicious intent.“] class act_obfuscate action act_stego[„<b>Action</b> – <b>T1027.003 Steganography</b><br /><b>Description</b>: Embed payload inside PNG image to evade detection.“] class act_stego action act_reflective_load[„<b>Action</b> – <b>T1620 Reflective Code Loading</b><br /><b>Description</b>: Load .NET assembly in memory without touching disk.“] class act_reflective_load action act_regasm[„<b>Action</b> – <b>T1218.009 RegAsm Proxy Execution</b><br /><b>Description</b>: Abuse RegAsm to execute arbitrary .NET code.“] class act_regasm action act_process_hollow[„<b>Action</b> – <b>T1055.012 Process Hollowing</b><br /><b>Description</b>: Replace legitimate process memory with malicious code.“] class act_process_hollow action act_uac_bypass[„<b>Action</b> – <b>T1548.002 Bypass User Account Control</b><br /><b>Description</b>: Elevate privileges without prompting user.“] class act_uac_bypass action act_cred_steal[„<b>Action</b> – <b>T1555.003 Credentials from Web Browsers</b><br /><b>Description</b>: Dump saved browser credentials.“] class act_cred_steal action act_data_collect[„<b>Action</b> – <b>T1119 Automated Collection</b><br /><b>Description</b>: Gather files and system information.“] class act_data_collect action act_exfil[„<b>Action</b> – <b>T1102 Exfiltration Over Web Service</b> / <b>T1041 Exfiltration Over C2 Channel</b><br /><b>Description</b>: Send collected data to remote server via web service.“] class act_exfil action %% Connections act_phishing u002du002d>|leads_to| act_exploit act_exploit u002du002d>|leads_to| act_obfuscate act_obfuscate u002du002d>|leads_to| act_stego act_stego u002du002d>|leads_to| act_reflective_load act_reflective_load u002du002d>|leads_to| act_regasm act_regasm u002du002d>|leads_to| act_process_hollow act_process_hollow u002du002d>|leads_to| act_uac_bypass act_uac_bypass u002du002d>|leads_to| act_cred_steal act_cred_steal u002du002d>|leads_to| act_data_collect act_data_collect u002du002d>|leads_to| act_exfil „

Angriffsablauf

Simulationsausführung

Voraussetzung: Der Telemetrie- und Basislinien-Vorab-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Technik des Gegners (TTP), die den Erkennungscode auslösen soll. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffsablauf & Befehle:
    Ein Angreifer sendet eine Spear-Phishing-E-Mail mit einem JPEG-Anhang, in den steganografisch eine versteckte PowerShell-Nutzlast eingebettet ist. Nachdem das Opfer den Anhang öffnet, extrahiert das Skript der ersten Stufe des Angreifers die versteckten Daten, dekodiert sie aus Base64 und startet einen PowerShell-Loader der zweiten Stufe in einem versteckten Fenster. Der Loader kontaktiert anschließend einen C2-Server, um zusätzliche Tools herunterzuladen. Die genau auf dem Opfersystem erzeugte Befehlszeile lautet:

    powershell -WindowStyle Hidden -EncodedCommand <Base64String>

    Weil der Angreifer explizit das Wort „Base64“ im Skript einfügt (z. B. durch Verwendung der -EncodedCommand Hülle, die „Base64“ in Kommentaren ausgibt), trifft die Bedingung der Erkennungsregel selection_base64_decoded_script zu, und das versteckte Fensterflag erfüllt selection_hidden_powershell.

  • Regressionstest-Skript:

    # Simulation des versteckten PowerShell Base64-Loaders
# -------------------------------------------------
# Schritt 1: Erstellen Sie ein Dummy-PowerShell-Skript
$script = 'Write-Host "Compromised host: $env:COMPUTERNAME"; Start-Sleep -Seconds 30'
# Schritt 2: Kodieren Sie in Base64 (Unicode)
$bytes = [System.Text.Encoding]::Unicode.GetBytes($script)
$b64   = [Convert]::ToBase64String($bytes)
# Schritt 3: Starten Sie versteckte PowerShell mit der kodierten Nutzlast
Start-Process -FilePath "powershell.exe" `
    -ArgumentList "-WindowStyle Hidden -EncodedCommand $b64" `
    -WindowStyle Hidden `
    -NoNewWindow
# Das Vorhandensein des Wortes "Base64" im Kommentar erfüllt die Regel.

  • Cleanup-Befehle:

    # Beenden Sie alle verbleibenden versteckten PowerShell-Instanzen, die durch den Test gestartet wurden
Get-Process -Name "powershell" | Where-Object {
    $_.StartInfo.Arguments -match "-WindowStyle Hidden"
} | Stop-Process -Force

# Optional: Entfernen Sie alle temporären Dateien (in diesem Skript keine erstellt)

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten