Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Operation Poseidon ist eine Spear-Phishing-Kampagne, die der Konni APT zugeschrieben wird und Google- und Naver-Anzeigenklick-Tracking/Weiterleitung-URLs nutzt, um bösartige LNK-Verknüpfungsdateien zu verbreiten. Beim Öffnen löst die LNK eine AutoIt-Ladung aus, die EndRAT vorwiegend im Speicher ausführt. Die Operation stützt sich auf kompromittierte WordPress-Seiten für die Bereitstellung von Payloads und Command-and-Control (C2)-Diensten.
Untersuchung
Das Genians Security Center prüfte die Phishing-E-Mail-Köder, eingebettete Tracking-Beacons und den End-to-End-Ausführungsablauf – vom LNK-Shortcut-Start bis zur AutoIt-Staging-Logik und der In-Memory-EndRAT-Bereitstellung. Analysten stellten auch die Wiederverwendung von Infrastruktur- und Entwicklungsartefakten fest, darunter die Domain jlrandsons.co.uk und der Build-Pfad D:3_Attack WeaponAutoitBuild__Poseidon – Attackclient3.3.14.a3x.
Minderung
Verhindern Sie die Ausführung von LNK-Dateien, die in ZIP-Archiven geliefert werden, und überprüfen Sie Redirect-Ketten von Anzeigenklicks, die von Google/Naver-Tracking-Domains ausgehen. Erzwingen Sie eine strikte EDR-Abdeckung für AutoIt-Aktivitäten und verdächtiges Prozessspawning (insbesondere abnormale PowerShell- oder cmd.exe-Starts). Verringern Sie den Missbrauch der Infrastruktur, indem Sie WordPress-Instanzen absichern und regelmäßig aktualisieren, um deren Verwendung als Malware-Verteilungspunkte zu begrenzen.
Antwort
Alarmieren Sie über anfängliche LNK-Ausführungsereignisse, kennzeichnen Sie AutoIt.exe-Ausführungen, die durch Benutzerinteraktionen initiiert werden, und überwachen Sie ausgehende Verbindungen zu den identifizierten C2-Domains und IPs. Quarantänisieren Sie verdächtige Endpunkte und sammeln Sie forensische Artefakte, einschließlich des AutoIt-Skripts, LNK-Metadaten und aller wiedergefundenen EndRAT-Komponenten, um die Eingrenzung und Beseitigung zu unterstützen.
„graph TB %% Class Definitions classDef action fill:#99ccff %% Node definitions node_phishing[„<b>Aktion</b> – <b>T1566.001 Spearphishing-Anhang</b><br/><b>Beschreibung</b>: Senden einer Spearphishing-E-Mail mit einer bösartigen ZIP-Datei, die eine LNK-Verknüpfung enthält.“] class node_phishing action node_user_execution[„<b>Aktion</b> – <b>T1204.001 Benutzerausführung Bösartiger Link</b><br/><b>Beschreibung</b>: Opfer klickt auf eine Redirect-URL (ad.doubleclick.net), die zu einem bösartigen Download führt.“] class node_user_execution action node_lnk_smuggling[„<b>Aktion</b> – <b>T1027.012 LNK Icon Smuggling</b><br/><b>Beschreibung</b>: LNK-Verknüpfung verbirgt bösartige Nutzlast hinter einem harmlosen Symbol und startet ein AutoIt-Skript.“] class node_lnk_smuggling action node_autohotkey_autoit[„<b>Aktion</b> – <b>T1059.010 Befehl- und Skripting-Interpreter AutoHotKey und AutoIT</b><br/><b>Beschreibung</b>: AutoIt-Skript, das als PDF tarnend die EndRAT-Nutzlast direkt im Speicher lädt.“] class node_autohotkey_autoit action node_masquerade[„<b>Aktion</b> – <b>T1036.008 Datei-Typ-Tarnung</b><br/><b>Beschreibung</b>: Das bösartige Skript wird mit der Erweiterung .pdf präsentiert, um legitim zu erscheinen.“] class node_masquerade action node_web_service[„<b>Aktion</b> – <b>T1102 Webdienst</b><br/><b>Beschreibung</b>: Kompromittierte WordPress-Seite wird genutzt, um die Nutzlast zu hosten und mit dem Befehl-und-Steuerungs-Server zu kommunizieren.“] class node_web_service action %% Verbindungen node_phishing u002du002d>|führt_zu| node_user_execution node_user_execution u002du002d>|führt_zu| node_lnk_smuggling node_lnk_smuggling u002du002d>|führt_zu| node_autohotkey_autoit node_autohotkey_autoit u002du002d>|führt_zu| node_masquerade node_autohotkey_autoit u002du002d>|führt_zu| node_web_service „
Angriffsfluss
Erkennungen
Mögliche bösartige LNK-Datei mit doppelter Erweiterung (via cmdline)
Ansehen
AutoIT-Binary wurde von einem ungewöhnlichen Ort ausgeführt (via process_creation)
Ansehen
IOCs (DestinationIP) zu erkennen: Operation Poseidon: Spear-Phishing-Angriffe, die Google Ads-Umleitungsmechanismen missbrauchen
Ansehen
IOCs (Emails) zu erkennen: Operation Poseidon: Spear-Phishing-Angriffe, die Google Ads-Umleitungsmechanismen missbrauchen
Ansehen
IOCs (SourceIP) zu erkennen: Operation Poseidon: Spear-Phishing-Angriffe, die Google Ads-Umleitungsmechanismen missbrauchen
Ansehen
IOCs (HashMd5) zu erkennen: Operation Poseidon: Spear-Phishing-Angriffe, die Google Ads-Umleitungsmechanismen missbrauchen
Ansehen
Anomale externe Verbindungsversuche über PowerShell für C2-Kommunikation [Windows Powershell]
Ansehen
Ausführung von bösartigen Prozessen nach der LNK-Dateiausführung [Windows-Prozess-Erstellung]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinien-Vorab-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der von Angreifern angewandten Technik (TTP), die zur Auslösung der Erkennungsregel konzipiert ist. Die Befehle und Darstellungen MÜSSEN direkt die festgestellten TTPs widerspiegeln und darauf abzielen, die genauen von der Erkennung logisch erwarteten Telemetrien zu generieren.
-
Angriffsnarrativ & Befehle:
Ein Angreifer erstellt eine bösartige Verknüpfung (
malicious.lnk), die aufpowershell.exezeigt mit einem codierten Befehl, um eine Nutzlast herunterzuladen und auszuführen. Die Verknüpfung wird per Spear-Phishing-E-Mail zugestellt. Beim Doppelklick löst der Windows Explorer die.lnkauf, wodurchpowershell.exeals ein Kindprozess des LNK-Prozesses gestartet wird. Diese genaue Eltern-Kind-Beziehung erfüllt die Sigma-Regelexecution_after_LNKBedingung. -
Regression-Testskript:
# ------------------------------------------------------------- # Erstellen einer bösartigen LNK, die PowerShell mit einem codierten Befehl startet # ------------------------------------------------------------- $WshShell = New-Object -ComObject WScript.Shell # Pfad, wo die LNK erstellt wird (Desktop) $lnkPath = "$Env:UserProfileDesktopmalicious.lnk" # Ziel-Executable $target = "$Env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" # Beispiel eines codierten Befehls (erstellt eine Textdatei als harmlosen Indikator) $plainCmd = "New-Item -Path $Env:Tempposeidon_test.txt -ItemType File -Force" $bytes = [System.Text.Encoding]::Unicode.GetBytes($plainCmd) $encoded = [Convert]::ToBase64String($bytes) $arguments = "-EncodedCommand $encoded" $shortcut = $WshShell.CreateShortcut($lnkPath) $shortcut.TargetPath = $target $shortcut.Arguments = $arguments $shortcut.Save() Write-Host "LNK erstellt bei $lnkPath" # ------------------------------------------------------------- # LNK ausführen, um die Erkennungsregel auszulösen # ------------------------------------------------------------- Start-Process -FilePath $lnkPath # ------------------------------------------------------------- # Optional: Pause für SIEM-Integration # ------------------------------------------------------------- Start-Sleep -Seconds 10 # ------------------------------------------------------------- # Bereinigung (Entfernen der Indikator-Datei, der LNK und des Indikators) # ------------------------------------------------------------- Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue Write-Host "Bereinigung abgeschlossen." -
Bereinigungskommandos: (wenn das obige Skript nicht verwendet wird)
# Entfernen Sie alle während des Tests erstellten Indikatordateien Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue # Löschen der bösartigen Verknüpfung $lnkPath = "$Env:UserProfileDesktopmalicious.lnk" Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue Write-Host "Testartefakte entfernt."