SOC Prime Bias: Crítico

20 Jan 2026 20:27
newspaper icon co.kr

Operação Poseidon: Ataques de Spear-Phishing Abusando de Mecanismos de Redirecionamento do Google Ads

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Operação Poseidon: Ataques de Spear-Phishing Abusando de Mecanismos de Redirecionamento do Google Ads
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

A Operação Poseidon é uma campanha de spear-phishing atribuída ao Konni APT que utiliza URLs de rastreamento/redirecionamento de cliques de anúncios do Google e Naver para entregar arquivos de atalho LNK maliciosos. Quando abertos, os LNKs acionam um carregador AutoIt que executa o EndRAT predominantemente na memória. A operação depende de sites WordPress comprometidos para hospedagem de payloads e serviços de comando e controle (C2).

Investigação

O Genians Security Center revisou as iscas de e-mails de phishing, beacons de rastreamento embutidos e o fluxo de execução ponta a ponta—from o lançamento do atalho LNK até a lógica de estágio do AutoIt e implantação do EndRAT na memória. Os analistas também notaram a reutilização de artefatos de infraestrutura e desenvolvimento, incluindo o domínio jlrandsons.co.uk e o caminho de compilação D:3_Attack WeaponAutoitBuild__Poseidon – Attackclient3.3.14.a3x.

Mitigação

Impedir a execução de arquivos LNK entregues dentro de arquivos ZIP e examinar cadeias de redirecionamento de cliques de anúncios originadas de domínios de rastreamento do Google/Naver. Reforçar a cobertura rigorosa do EDR para atividade do AutoIt e geração de processos suspeitos (notadamente lançamentos anormais de PowerShell ou cmd.exe). Reduzir o abuso de infraestrutura endurecendo e corrigindo rotineiramente instâncias WordPress para limitar seu uso como pontos de distribuição de malware.

Resposta

Alertar sobre eventos iniciais de execução de LNK, sinalizar execuções de AutoIt.exe iniciadas por interação do usuário e monitorar conexões de saída para os domínios e IPs C2 identificados. Quarentenar endpoints suspeitos e coletar artefatos forenses, incluindo o script AutoIt, metadados de LNK, e quaisquer componentes EndRAT recuperados para apoiar a delimitação e erradicação.

“graph TB %% Class Definitions classDef action fill:#99ccff %% Node definitions node_phishing[“<b>Ação</b> – <b>T1566.001 Anexo de Spearphishing</b><br/><b>Descrição</b>: Enviar e-mail de spear-phishing com um arquivo ZIP malicioso que contém um atalho LNK.”] class node_phishing action node_user_execution[“<b>Ação</b> – <b>T1204.001 Execução de Link Malicioso pelo Usuário</b><br/><b>Descrição</b>: A vítima clica em um URL de redirecionamento (ad.doubleclick.net) que leva a um download malicioso.”] class node_user_execution action node_lnk_smuggling[“<b>Ação</b> – <b>T1027.012 Contrabando de Ícones LNK</b><br/><b>Descrição</b>: Atalho LNK esconde carga maliciosa por trás de um ícone benigno e inicia um script AutoIt.”] class node_lnk_smuggling action node_autohotkey_autoit[“<b>Ação</b> – <b>T1059.010 Interpretador de Comandos e Scripts AutoHotKey e AutoIT</b><br/><b>Descrição</b>: Script AutoIt disfarçado de PDF carrega a carga EndRAT diretamente na memória.”] class node_autohotkey_autoit action node_masquerade[“<b>Ação</b> – <b>T1036.008 Disfarce de Tipo de Arquivo</b><br/><b>Descrição</b>: O script malicioso é apresentado com uma extensão .pdf para parecer legítimo.”] class node_masquerade action node_web_service[“<b>Ação</b> – <b>T1102 Serviço Web</b><br/><b>Descrição</b>: Site WordPress comprometido é usado para hospedar a carga e comunicar-se com o servidor de comando e controle.”] class node_web_service action %% Connections node_phishing u002du002d>|conduz a| node_user_execution node_user_execution u002du002d>|conduz a| node_lnk_smuggling node_lnk_smuggling u002du002d>|conduz a| node_autohotkey_autoit node_autohotkey_autoit u002du002d>|conduz a| node_masquerade node_autohotkey_autoit u002du002d>|conduz a| node_web_service “

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Verificação Prévia de Telemetria & Baseline deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e objetivar gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:

    Um atacante cria um atalho malicioso (malicious.lnk) que aponta para powershell.exe com um comando codificado para baixar e executar uma carga. O atalho é entregue via e-mail de spear-phishing. Ao clicar duas vezes, o Windows Explorer resolve o .lnk, gerando powershell.exe como um filho do processo LNK. Esse relacionamento exato de pai-filho satisfaz a regra Sigma execution_after_LNK condição.

  • Script de Teste de Regressão:

    # -------------------------------------------------------------
# Criar um LNK malicioso que inicia o PowerShell com um comando codificado
# -------------------------------------------------------------
$WshShell = New-Object -ComObject WScript.Shell

# Caminho onde o LNK será criado (Desktop)
$lnkPath = "$Env:UserProfileDesktopmalicious.lnk"

# Executável alvo
$target = "$Env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe"

# Comando codificado de exemplo (cria um arquivo de texto como indicador inofensivo)
$plainCmd = "New-Item -Path $Env:Tempposeidon_test.txt -ItemType File -Force"
$bytes = [System.Text.Encoding]::Unicode.GetBytes($plainCmd)
$encoded = [Convert]::ToBase64String($bytes)

$arguments = "-EncodedCommand $encoded"

$shortcut = $WshShell.CreateShortcut($lnkPath)
$shortcut.TargetPath = $target
$shortcut.Arguments = $arguments
$shortcut.Save()

Write-Host "LNK criado em $lnkPath"

# -------------------------------------------------------------
# Executar o LNK para acionar a regra de detecção
# -------------------------------------------------------------
Start-Process -FilePath $lnkPath

# -------------------------------------------------------------
# Opcional: pausa para permitir a ingestão do SIEM
# -------------------------------------------------------------
Start-Sleep -Seconds 10

# -------------------------------------------------------------
# Limpeza (remover o arquivo indicador, o LNK e o indicador)
# -------------------------------------------------------------
Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue
Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue

Write-Host "Limpeza concluída."

  • Comandos de Limpeza: (se o script acima não for usado)

    # Remover quaisquer arquivos indicadores criados durante o teste
Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue

# Excluir o atalho malicioso
$lnkPath = "$Env:UserProfileDesktopmalicious.lnk"
Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue

Write-Host "Artefatos de teste removidos."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente