Campanha de Malware APT-Q-27 Foca no Suporte ao Cliente Web3

Ruslan Mikhalov Chefe de Pesquisa de Ameaças na SOC Prime

Seguir

Campanha de Malware APT-Q-27 Foca no Suporte ao Cliente Web3

Detection stack

AIDR
Alert
ETL
Query

Relatório de Ameaça
Fluxo de Ataque
Detecções
Simulações

Resumo

Um ator de ameaça motivado financeiramente, identificado como APT-Q-27 (também conhecido como GoldenEyeDog), está executando uma campanha de malware em múltiplas etapas que começa com interações de suporte ao cliente Web3 via chat. A isca inicial é um arquivo .pif disfarçado de captura de tela, que implanta um carregador .NET personalizado. Esse carregador puxa estágios adicionais do AWS S3, cria um diretório de estágio oculto e utiliza o sideloading de DLL emparelhando uma DLL maliciosa com um executável legítimo da plataforma YY. O estágio final instala um backdoor que se comunica através de uma porta TCP não padrão, permitindo acesso remoto furtivo além dos padrões típicos de tráfego web.

Investigação

ZeroShadow analisou várias variantes do carregador, incluindo Feedback.exe e photo2025060268jpg.exe, e recuperou uma URL de C2 codificada duplamente em Base64 embutida na cadeia. A engenharia reversa revelou a lógica de decriptação do carregador e o fluxo de trabalho de sideloading usado para iniciar a execução. Os analistas também documentaram um marcador de caminho de estágio consistente contendo “@27”, além de um mecanismo de persistência por meio de um valor Run do HKCU chamado SystemUpdats. Observou-se que o backdoor usava um conjunto de 37 endereços IP de C2 codificados, comunicando-se via TCP 15628, enquanto misturava a atividade referenciando URLs de atualização da Microsoft como indicadores de rede de disfarce.

Mitigação

Habilite a visibilidade completa da extensão de arquivo e bloqueie a execução de arquivos .pif em todos os endpoints. Monitore a criação de diretórios ocultos em locais de cache no estilo Windows Update e alerte sobre o valor da chave de execução do SystemUpdats. Fortaleça a UAC impedindo que atacantes zerem simultaneamente as três chaves de política relevantes e restrinja a conectividade de saída para TCP 15628 nos pontos de saída. Impor validação de assinatura de código e examine binários assinados lançados de diretórios não pertencentes ao sistema para reduzir o risco de sideloading de DLL.

Resposta

Se as detecções dispararem, isole o endpoint e preserve tanto a memória quanto os artefatos de disco para triagem. Procure pelo diretório de estágio contendo “@27”, a entrada Run-key do SystemUpdats e quaisquer DLLs suspeitas emparelhadas com o executável YY legítimo. Bloqueie os IPs/domínios de C2 identificados e implemente políticas de controle de aplicativos que impeçam a execução de binários não assinados ou de confiança questionável de caminhos de perfil de usuário. Expanda o escopo pela frota em busca dos mesmos padrões de persistência e rede para identificar hosts adicionais afetados.

"graph TB %% Class definitions classDef action fill:#99ccff classDef file fill:#ffcc99 classDef registry fill:#c2f0c2 classDef network fill:#ff99cc classDef builtin fill:#cccccc %% Nodes action_phishing_link["Ação – T1204.001 Execução de Usuário: Link Malicioso URL enganosa enviada em chat ao vivo, a vítima clica e baixa um arquivo .pif chamado photo2025060268jpg.exe"] class action_phishing_link action file_pif["Arquivo – Nome: photo2025060268jpg.exe Tipo: .pif executável disfarçado como uma imagem"] class file_pif file action_malicious_file["Ação – T1204.002 Execução de Usuário: Arquivo Malicioso O .pif executa, abre o Paint com uma imagem de erro falsa e inicia o carregador"] class action_malicious_file action file_loader["Malware – Nome: Loader Comportamento: Descriptografa payloads, inicia updat.exe"] class file_loader builtin action_obfuscation["Ação – T1027.008 Arquivos ou Informações Ofuscadas Todas as strings, URLs e payloads são criptografados duplamente em Base64"] class action_obfuscation action action_debugger_evasion["Ação – T1622 Evasão de Depurador Verifica IsDebuggerPresent e a pilha de chamadas, sai se um depurador for detectado"] class action_debugger_evasion action action_persistence["Ação – T1547.001 Chaves de Inicialização/Execução de Registro Escreve HKCUSoftwareMicrosoftWindowsCurrentVersionRunSystemUpdats u2192 updat.exe em pasta de estágio oculta"] class action_persistence action registry_run_key["Registro – Caminho: HKCUSoftwareMicrosoftWindowsCurrentVersionRunSystemUpdats Valor: caminho do updat.exe"] class registry_run_key registry file_updat["Arquivo – Nome: updat.exe Localização: diretório de estágio oculto"] class file_updat file action_uac_bypass["Ação – T1548.002 Contornar UAC Configura EnableLUA, ConsentPromptBehaviorAdmin e PromptOnSecureDesktop para 0 em uma única transação"] class action_uac_bypass action action_appinit["Ação – T1546.010 AppInit DLLs & T1546.009 AppCert DLLs updat.exe lançado com diretório de trabalho configurado para pasta de estágio causando carregamento de DLL maliciosa"] class action_appinit action file_vcruntime["DLL – Nome: vcruntime140.dll (malicioso)"] class file_vcruntime file file_msvcp["DLL – Nome: msvcp140.dll (malicioso)"] class file_msvcp file file_crashreport["DLL – Nome: crashreport.dll (malicioso)"] class file_crashreport file action_dll_sideload["Ação – T1574.002 Sideloading de DLL DLLs maliciosas carregadas em vez de bibliotecas de tempo de execução legítimas"] class action_dll_sideload action action_c2["Ação – T1571 Porta Não-Padrão & T1573 Canal Criptografado O backdoor estabelece conexão TCP com o C2 na porta 15628, tráfego criptografado, recupera manifesto do AWS S3"] class action_c2 action network_c2["Rede – Protocolo: TCP Porta: 15628 Ponto de Extremidade: servidor C2 (AWS S3)"] class network_c2 network %% Connections action_phishing_link –>|downloads| file_pif file_pif –>|executes| action_malicious_file action_malicious_file –>|launches| file_loader file_loader –>|uses| action_obfuscation file_loader –>|uses| action_debugger_evasion file_loader –>|initiates| action_persistence action_persistence –>|writes| registry_run_key registry_run_key –>|points to| file_updat file_updat –>|triggered by| action_uac_bypass action_uac_bypass –>|enables| action_appinit action_appinit –>|loads| file_vcruntime action_appinit –>|loads| file_msvcp action_appinit –>|loads| file_crashreport file_vcruntime –>|contribute to| action_dll_sideload file_msvcp –>|contribute to| action_dll_sideload file_crashreport –>|contribute to| action_dll_sideload action_dll_sideload –>|enables| action_c2 action_c2 –>|communicates with| network_c2 "

Fluxo de Ataque

Narrativa de Ataque & Comandos:
Um adversário com direitos de administrador local busca desativar o UAC para facilitar o caminho para ferramentas de escalonamento de privilégio adicionais. Usando o reg.exe utilitário nativo (um binário de sobrevivência), o atacante define os três valores de política crítica de UAC para 0 em rápida sucessão (menos de 30 segundos) para evitar a detecção por processos de auditoria manual.
```
# Passo 1 – Desativar UAC “EnableLUA”
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v EnableLUA /t REG_DWORD /d 0 /f

# Passo 2 – Desativar prompt de consentimento para administradores
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 0 /f

# Passo 3 – Desativar área de trabalho segura para prompts UAC
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v PromptOnSecureDesktop /t REG_DWORD /d 0 /f
```
Esses três comandos geram três Evento de Registro logs (EventID 4657 no canal de Segurança e os correspondentes Microsoft-Windows-Registry/Operational eventos) contendo os caminhos TargetObject e Detalhes valores que a regra Sigma corresponde.

Script de Teste de Regressão: O seguinte script PowerShell executa as três gravações com uma pausa de 5 segundos entre cada uma para permanecer confortavelmente dentro da janela de 30 segundos, proporcionando também um fluxo de execução determinístico.

# Teste de Regressão – Desativar UAC via registro
$regPath = "HKLM:SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem"

# Armazenar valores originais para limpeza posterior
$originalEnableLUA = (Get-ItemProperty -Path $regPath -Name EnableLUA -ErrorAction SilentlyContinue).EnableLUA
$originalConsent   = (Get-ItemProperty -Path $regPath -Name ConsentPromptBehaviorAdmin -ErrorAction SilentlyContinue).ConsentPromptBehaviorAdmin
$originalPrompt    = (Get-ItemProperty -Path $regPath -Name PromptOnSecureDesktop -ErrorAction SilentlyContinue).PromptOnSecureDesktop

# Desativar UAC
Set-ItemProperty -Path $regPath -Name EnableLUA -Value 0
Start-Sleep -Seconds 5
Set-ItemProperty -Path $regPath -Name ConsentPromptBehaviorAdmin -Value 0
Start-Sleep -Seconds 5
Set-ItemProperty -Path $regPath -Name PromptOnSecureDesktop -Value 0

Write-Host "UAC desativado – logs de verificação devem agora ter sido ingeridos."

Comandos de Limpeza: Restaure as configurações originais do UAC para retornar o sistema ao seu estado pré-teste.

# Limpeza – Restaurar configurações originais do UAC
$regPath = "HKLM:SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem"

if ($null -ne $originalEnableLUA) { Set-ItemProperty -Path $regPath -Name EnableLUA -Value $originalEnableLUA }
if ($null -ne $originalConsent)   { Set-ItemProperty -Path $regPath -Name ConsentPromptBehaviorAdmin -Value $originalConsent }
if ($null -ne $originalPrompt)    { Set-ItemProperty -Path $regPath -Name PromptOnSecureDesktop -Value $originalPrompt }

Write-Host "Configurações do UAC restauradas para os valores originais."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente