Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Короткий зміст
Фішингова електронна пошта, видаючи себе за DHL, спрямовувала одержувача до вкладеного PDF, в якому вказувалося натиснути кнопку. Ця кнопка привела до завантаження шкідливого .scr файлу з компрометованого веб-сайту в’єтнамської логістики. Після виконання файл встановив підписаний інструмент віддаленого доступу SimpleHelp, що дозволило зловмиснику створити постійний віддалений доступ до машини жертви.
Розслідування
Звіт пояснює, що фішингова електронна пошта використовувала зображення, розміщені на легітимному сервісі Yahoo, щоб виглядати більш переконливо, та спиралася на підроблену адресу відправника, щоб імітувати довірене джерело. Завантажений .scr файл був ідентифікований як модифікований інсталятор віддаленого управління SimpleHelp, який викликав запит UAC перед виконанням. Після встановлення програмне забезпечення ініціювало вихідне сполучення з інфраструктурою, керованою зловмисниками, для отримання команд і підтримання контролю над компрометованою системою.
Пом’якшення
Організації повинні навчати користувачів ретельно перевіряти адреси відправників і звертати особливу увагу на підозрілі розширення файлів перед відкриттям вкладень чи завантажень. Усіляко можлива багатофакторна аутентифікація повинна бути ввімкнена, а кінцева захист із сучасними можливостями фільтрації веб-сайтів повинна бути впроваджена для блокування шкідливого вмісту. Захисники також повинні блокувати ідентифікований шкідливий домен і стежити за несанкціонованою активністю SimpleHelp у всьому середовищі.
Реакція
Якщо ця діяльність виявлена, негайно ізолюйте уражений кінцевий пункт, зупиніть процес SimpleHelp і видаліть шкідливий .scr файл із хоста. Слідчі повинні провести судово-медичний аналіз для виявлення додаткових артефактів або супутньої діяльності, пов’язаної з напором. Усі облікові дані, використані на скомпрометованій системі, повинні бути скинуті, а правила безпеки електронної пошти повинні бути посилені для зменшення вразливості до подібних фішингових зловмисних пасток у майбутньому.
"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef file fill:#ccffcc classDef malware fill:#ff9999 classDef protocol fill:#ccccff %% Nodes action_phishing["<b>Дія</b> – Фішингова Кампанія"] class action_phishing action tech_T1566_001["<b>Техніка</b> – T1566.001 Фішинг: Spearphishing Вкладення<br/><b>Опис</b>: Цілеспрямовані фішингові електронні листи, які містять шкідливі вкладення."] class tech_T1566_001 technique file_pdf["<b>Файл</b> – Шкідливий PDF вкладення (видаючи за DHL)"] class file_pdf file action_user_exec["<b>Дія</b> – Виконання користувачем шкідливого файлу"] class action_user_exec action tech_T1204_002["<b>Техніка</b> – T1204.002 Виконання користувачем: Шкідливий Файл<br/><b>Опис</b>: Користувача обманом змушують відкрити або виконати шкідливий файл."] class tech_T1204_002 technique file_scr["<b>Файл</b> – AWB-Doc0921.scr завантажено і запущено"] class file_scr file tech_T1553_002["<b>Техніка</b> – T1553.002 Підрив Довірчих Контролей: Підписання Коду<br/><b>Опис</b>: Зловмисники використовують вкрадені або підроблені сертифікати підпису коду для підпису шкідливих файлів."] class tech_T1553_002 technique tech_T1036_008["<b>Техніка</b> – T1036.008 Маскування: Маскарад Типу Файлу<br/><b>Опис</b>: Файли перейменовуються або подаються як інший тип, щоб обійти захист."] class tech_T1036_008 technique malware_simplehelp["<b>Шкідливе ПЗ</b> – SimpleHelp Інструмент Віддаленого Доступу"] class malware_simplehelp malware tech_T1219["<b>Техніка</b> – T1219 Інструменти Віддаленого Доступу<br/><b>Опис</b>: Використання віддаленихu2011інструментів доступу для управління скомпрометованими хостами."] class tech_T1219 technique tech_T1071_001["<b>Техніка</b> – T1071.001 Протокол Рівня Додатків: Веб Протоколи<br/><b>Опис</b>: Використання HTTP/HTTPS для командногоu2011іu2011контрольного зв’язку."] class tech_T1071_001 protocol tech_T1133["<b>Техніка</b> – T1133 Зовнішні Віддалені Служби<br/><b>Опис</b>: Використання легітимних віддалених служб для доступу до скомпрометованих систем."] class tech_T1133 technique %% З’єднання action_phishing –>|використовує| tech_T1566_001 tech_T1566_001 –>|доставляє| file_pdf file_pdf –>|тригерить| action_user_exec action_user_exec –>|використовує| tech_T1204_002 tech_T1206_002 –>|виконує| file_scr file_scr –>|підписано_з| tech_T1553_002 tech_T1553_002 –>|дозволяє| tech_T1036_008 tech_T1036_008 –>|призводить_до| malware_simplehelp malware_simplehelp –>|використовує| tech_T1219 malware_simplehelp –>|спілкується_через| tech_T1071_001 malware_simplehelp –>|доступ_з| tech_T1133 "