Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Фішинговий електронний лист під виглядом замовлення доставки містить архів з подвійним розширенням, який розпаковує шкідливий VBS-завантажувач. Цей завантажувач запускає прихований процес PowerShell, який отримує фальшивий PNG-файл з кодуваним корисним навантаженням. Корисне навантаження потім деобфускується, перебудовується як .NET-портативний виконуваний файл і завантажується безпосередньо в пам’ять, що в кінцевому підсумку розгортає дистанційний доступ трояном Remcos. Кампанія підкреслює безфайлову ланцюг виконання, побудовану навколо відомих атак на базі електронної пошти.
Розслідування
Аналіз охопив весь процес зараження від початкового фішингового електронного листа до остаточного розгортання Remcos RAT. Слідчі виявили ключові артефакти, включаючи назву скрипту VBS, використання змінних середовища PowerShell та URL, використаний для завантаження фальшивого PNG-файлу. Перебудована .NET-асамблея була завантажена в пам’ять, тоді як специфічні для Remcos записи реєстру та артефакти м’ютексу допомогли підтвердити остаточне корисне навантаження. Дослідники також зафіксували відповідні мережеві індикатори, включаючи домен командування та управління, що прив’язується до кампанії.
Пом’якшення
Організації повинні посилити сканування вкладень і блокувати архіви, що використовують заплутані подвійні розширення. Політики виконання PowerShell повинні виконуватися, і використання wscript.exe повинно бути максимально обмежене там, де це можливо. Захисники також повинні відстежувати підозрілі ключі реєстру під HKCUSOFTWARE і відстежувати TLS-відбитки JA3, пов’язані з активністю Remcos. Ворота безпеки електронної пошти повинні регулярно оновлюватись для підвищення виявлення фішингових приманок, націлених на закупівлі та фінансові робочі процеси.
Відповідь
Якщо ця активність виявлена, ізолюйте постраждалу кінцеву точку негайно і завершити підозрілі процеси PowerShell. Зберіть дампи пам'яті та відповідні артефакти реєстру для форензичного аналізу перед очищенням. Видаліть корисне навантаження Remcos та пов'язані записи стійкості, а потім скидайте будь-які облікові дані, які могли бути скомпрометовані. Також слід провести ширший пошук загроз в усій мережі, щоб ідентифікувати системи з подібними індикаторами. or wscript.exe processes. Collect memory dumps and relevant registry artifacts for forensic analysis before cleanup. Remove the Remcos payload and related persistence entries, then reset any credentials that may have been exposed. A broader threat hunt should also be conducted across the environment to identify systems showing similar indicators.
"graph TB %% Визначення класів classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef file fill:#e6e6e6 classDef process fill:#ffeb99 classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef config fill:#dddddd %% Визначення вузлів action_phishing["<b>Дія</b> – <b>T1566.001 Фішинг атачментом</b><br/>Жертва отримує електронний лист зі шкідливим архівом з назвою <i>Sarens PO_SB-0407026-001_PDF.txz</i>"] class action_phishing action technique_masquerade["<b>Техніка</b> – <b>T1036.007 Маскування: Подвійне розширення файлу</b><br/>Архів використовує розширення .txz, але виглядає як .pdf, щоб обдурити користувача"] class technique_masquerade technique action_user_exec["<b>Дія</b> – <b>T1204.002 Виконання користувачем</b><br/>Жертва відкриває архів, що викликає розпакування скрипту VBS"] class action_user_exec action file_vbs["<b>Файл</b> – <b>VBS Скрипт</b><br/>Назва: Sarens PO_SB-0407026-001_PDF.vbs"] class file_vbs file process_wscript["<b>Процес</b> – <b>wscript.exe</b><br/>Виконує скрипт VBS"] class process_wscript process process_powershell["<b>Процес</b> – <b>PowerShell</b><br/>Запускається з обминанням політики виконання для завантаження віддаленого корисного навантаження"] class process_powershell process file_payload_image["<b>Файл</b> – <b>Фальшиве зображення</b><br/>Назва: optimized_MSI.png<br/>Містить Base64-кодоване .NET PE корисне навантаження"] class file_payload_image file technique_proc_inject_tls["<b>Техніка</b> – <b>T1055.005 Ін’єкція процесу: Локальне сховище потоку</b><br/>PowerShell ін’єкціює код через TLS"] class technique_proc_inject_tls technique technique_proc_inject_apc["<b>Техніка</b> – <b>T1055.004 Ін’єкція процесу: Асинхронний виклик процедури</b><br/>PowerShell ін’єкціює код через APC"] class technique_proc_inject_apc technique technique_proc_inject_pe["<b>Техніка</b> – <b>T1055.002 Ін’єкція процесу: Ін’єкція портативного виконуваного файлу</b><br/>Перебудований .NET PE завантажується в пам’ять з AppDomain.Load"] class technique_proc_inject_pe technique malware_remcos["<b>Зловред</b> – <b>Remcos RAT</b><br/>Встановлює зашифрований канал TLS до домену C2"] class malware_remcos malware comm_c2_web["<b>Техніка</b> – <b>T1102.003 Вебслужба: Однонаправлене спілкування</b><br/>Зашифроване з’єднання TLS з <i>dentalux202.ydns.eu</i>"] class comm_c2_web technique registry_key["<b>Конфігурація</b> – <b>Ключ реєстру</b><br/>HKCUSOFTWARERmcu2011HQO1B7 створений RAT"] class registry_key config mutex["<b>Конфігурація</b> – <b>М’ютекс</b><br/>Ідентифікатор м’ютекса Remcos Rmcu2011HQO1B7"] class mutex config %% З’єднання action_phishing –>|доставляє| technique_masquerade technique_masquerade –>|призводить до| action_user_exec action_user_exec –>|розпаковує| file_vbs file_vbs –>|виконується| process_wscript process_wscript –>|запускає| process_powershell process_powershell –>|завантажує| file_payload_image file_payload_image –>|надає| technique_proc_inject_tls file_payload_image –>|надає| technique_proc_inject_apc file_payload_image –>|надає| technique_proc_inject_pe technique_proc_inject_tls –>|дозволяє| malware_remcos technique_proc_inject_apc –>|дозволяє| malware_remcos technique_proc_inject_pe –>|дозволяє| malware_remcos malware_remcos –>|спілкується через| comm_c2_web malware_remcos –>|створює| registry_key malware_remcos –>|створює| mutex "
Потік атаки
Детекції
LOLBAS WScript / CScript (через створення процесу)
Перегляд
Виклик підозрілих методів .NET з Powershell (через powershell)
Перегляд
Підозрілі рядки Powershell (через powershell)
Перегляд
Можливе звернення до служби динамічного DNS (через dns)
Перегляд
IOC (HashSha256) для виявлення: Від оманливого замовлення на закупівлю до Remcos RAT
Перегляд
IOC (SourceIP) для виявлення: Від оманливого замовлення на закупівлю до Remcos RAT
Перегляд
IOC (DestinationIP) для виявлення: Від оманливого замовлення на закупівлю до Remcos RAT
Перегляд
Домен управління і контролю Remcos RAT і доступ URL до шкідливого навантаження [З’єднання мережі Windows]
Перегляд
Виявлення виконання скрипту VBS з подальшим виконанням PowerShell з обходом політики виконання [Створення процесу в Windows]
Перегляд
Виконання симуляції
Потрібно: Перевірка телеметрії та базових параметрів повинна бути пройдена.
Наратив атаки та команди
Противник надсилає фішинговий електронний лист з вкладенням malicious.vbs. Користувач двічі клацає на файл, викликаючи. Потім скрипт VBS запускає PowerShell з wscript.exe. Скрипт VBS запускає PowerShell з -ExecutionPolicy Bypass щоб завантажити віддалене корисне навантаження PowerShell, яке встановлює Remcos RAT. Точна командна лінія така:
powershell.exe -ExecutionPolicy Bypass -NoLogo -WindowStyle Hidden -EncodedCommand <BASE64_PAYLOAD>Скрипт регресійного тестування
#--------------------------------------------------------------------
# Скрипт симуляції: VBS → PowerShell з обходом політики виконання
#--------------------------------------------------------------------
# 1. Побудуйте невелике корисне навантаження PowerShell (наприклад, запишіть маркерний файл)
$payload = 'Set-Content -Path "$env:Temppwned.txt" -Value "Compromised"'
$encoded = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload))
# 2. Створіть шкідливий файл VBS, який запускає команду PowerShell
$vbsContent = @"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "powershell.exe -ExecutionPolicy Bypass -NoLogo -WindowStyle Hidden -EncodedCommand $encoded", 0, False
"@
$vbsPath = "$env:Tempmalicious.vbs"
Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII
# 3. Виконайте скрипт VBS (зімітує подвійне клацання користувача)
Start-Process -FilePath "wscript.exe" -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden
# Опціонально: зачекайте кілька секунд, щоб виконати корисне навантаження
Start-Sleep -Seconds 5
Write-Host "Симуляція завершена. Перевірте $env:Temppwned.txt на наявність артефактів."
#--------------------------------------------------------------------Команди очищення
# Видаліть артефакти, створені під час симуляції
Remove-Item -Path "$env:Tempmalicious.vbs" -ErrorAction SilentlyContinue
Remove-Item -Path "$env:Temppwned.txt" -ErrorAction SilentlyContinue
# Зупиніть будь-які залишкові процеси PowerShell, запущені скриптом (якщо необхідно)
Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Stop-Process -Force