Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine bösartige CHM-Datei, die innerhalb eines ZIP-Archivs geliefert wird, bringt eine betrügerische Python-Laufzeitumgebung zusammen mit einer C++-DLL, die eine eingebettete Nutzlast entschlüsselt. Diese Nutzlast etabliert Persistenz durch eine Winlogon-Shell-Übernahme, eine geplante Aufgabe und den Missbrauch von MSBuild, dann startet sie einen .NET-basierten Telegram-RAT. Die Malware kommuniziert mit einem Telegram-Bot unter Verwendung eines fest codierten Tokens und unterstützt die Ausführung von Befehlen, den Austausch von Tokens und das Herunterladen von Dateien. Die Kampagne wurde beobachtet, wie sie Opfer in Vietnam ins Visier nimmt, und zeigt derzeit keine Erkennungen auf VirusTotal.
Untersuchung
Die Analyse der CHM-Datei enthüllte ein Skript, das das Archiv dekompilierte, PYTHONHOMElöschte und ein umbenanntes Python-Executable mit einer kompilierten Bytecode-Datei startete. Der Bytecode lud dann eine DLL, die einen verschlüsselten DOCX-Blob entschlüsselte, zusätzliche Komponenten extrahierte und sie an temporäre Orte schrieb. Die DLL erstellte Registrierungseinträge, plante eine Aufgabe namens Doubtund führte eine MSBuild XML-Datei aus, um eine zweite DLL zu laden, die letztendlich den .NET Telegram RAT bereitstellte. Der RAT verließ sich auf hart codierte Telegram-Bot-Anmeldedaten für die Kommando- und Kontrollfunktion.
Minderung
Verteidiger sollten die Ausführung von CHM-Dateien aus unzuverlässigen Quellen blockieren und die Verwendung von hh.exe, msbuild.exeund PowerShell für nicht signierte oder verdächtige Skripte einschränken. Das Monitoring sollte sich auf Winlogon Shell Registrierungsänderungen, ungewöhnliche Erstellung von geplanten Aufgaben und neu abgelegte DLLs in temporären Verzeichnissen konzentrieren. Organisationen sollten auch den Telegram-API-Verkehr über Proxy-Kontrollen inspizieren und den Zugriff mit minimalen Rechten für Endnutzer durchsetzen.
Antwort
Sicherheitsteams sollten betroffene Hosts identifizieren und isolieren, flüchtige Beweise sammeln sowie die bösartigen DLLs und Skripte zur Analyse extrahieren. Der Winlogon Shell Wert und die geplante Aufgabe sollten entfernt, abgelegte Dateien gelöscht und geänderte Registrierungseinstellungen auf einen bekannten, guten Zustand zurückgesetzt werden. Alle offengelegten Telegram-Bot-Tokens sollten sofort ersetzt werden, und Verteidiger sollten weiterhin auf zusätzliche Kommando- und Kontrollaktivitäten überwachen. Eine vollständige forensische Untersuchung wird empfohlen, um festzustellen, ob Daten exfiltriert wurden.
"graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef registry fill:#ffddaa %% Knoten initial_access_phishing["<b>Aktion</b> – <b>T1566.001 Spearphishing-Anhang</b><br/>E-Mail mit bösartigem CHM als Word-Dokument getarnt an Opfer gesendet."] class initial_access_phishing action file_chm["<b>Malware</b> – <b>Datei</b>: CV – Vu PLPC KT nam 2026.chm<br/>Getarnt durch Doppelendung, um wie eine .doc-Datei auszusehen."] class file_chm malware defense_masquerade["<b>Aktion</b> – <b>T1036.008 Vortäuschung</b><br/>CHM-Datei gibt sich als Word-Dokument mit doppelter Erweiterung aus."] class defense_masquerade action defense_obfuscation["<b>Aktion</b> – <b>T1027.006 Verschleierte Dateien oder Informationen</b><br/>HTML-Schmuggel versteckt bösartigen Code im CHM."] class defense_obfuscation action execution_user["<b>Aktion</b> – <b>T1204.002 Benutzerausführung</b><br/>Opfer öffnet CHM, HTML/JS führt OBJECT-Tag aus, das cmd.exe startet."] class execution_user action process_cmd["<b>Prozess</b> – cmd.exe<br/>Durch CHM über OBJECT-Tag gestartet."] class process_cmd process execution_msbuild["<b>Aktion</b> – <b>T1127.001 Vertrauenswürdige Entwickler-Utilities Proxy-Ausführung</b><br/>Skript legt mechaniSm.xml ab und ruft msbuild.exe auf, um schädliche .NET-DLL zu laden."] class execution_msbuild action tool_msbuild["<b>Werkzeug</b> – msbuild.exe<br/>Wird verwendet, um ioy24euj.dll zu laden."] class tool_msbuild tool file_dll["<b>Malware</b> – <b>DLL</b>: ioy24euj.dll<br/>Enthält .NET-Code für Persistenz und Nutzlastlieferung."] class file_dll malware persistence_autostart["<b>Aktion</b> – <b>T1547.014 Aktive Einrichtung</b><br/>DLL modifiziert HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell, um auf umbenannten msbuild-Wrapper zu verweisen."] class persistence_autostart action registry_mod["<b>Registrierung</b> – HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell<br/>Gesetzt auf benutzerdefinierten msbuild-Wrapper für Autolauf."] class registry_mod registry persistence_event["<b>Aktion</b> – <b>T1546.009 AppCert-DLLs</b><br/>DLL geladen über ctypes.CDLL und später ausgeführt, um weitere Nutzlasten zu entschlüsseln."] class persistence_event action dll_load["<b>Prozess</b> – ctypes.CDLL-Ladevorgang<br/>Lädt die bösartige DLL in den Prozessraum."] class dll_load process privilege_injection["<b>Aktion</b> – <b>T1055.001 Prozessinjektion</b><br/>DLL injiziert Code in cmd.exe, um Nutzlasten auszuführen."] class privilege_injection action process_injection["<b>Prozess</b> – DLL-Injektion in cmd.exe<br/>Ermöglicht die Ausführung weiterer bösartiger Routinen."] class process_injection process command_and_control["<b>Aktion</b> – <b>T1573 Verschlüsselter Kanal</b><br/>.NET RAT kommuniziert mit Telegram-Bot unter Verwendung von XOR-verschlüsselten und base64-kodierten Nachrichten."] class command_and_control action c2_telegram["<b>Werkzeug</b> – Telegram-Bot<br/>Empfängt Befehle und exfiltriert Daten über verschlüsselten Kanal."] class c2_telegram tool impact_shutdown["<b>Aktion</b> – <b>T1529 Systemabschaltung/Neustart</b><br/>Geplante Aufgabe „Zweifel“ wurde erstellt, um das System jeden Freitag um Mitternacht herunterzufahren."] class impact_shutdown action scheduled_task["<b>Prozess</b> – Geplante Aufgabe „Zweifel“<br/>Löst die Systemabschaltung gemäß Zeitplan aus."] class scheduled_task process %% Verbindungen initial_access_phishing –>|liefert| file_chm file_chm –>|verwendet| defense_masquerade file_chm –>|verwendet| defense_obfuscation file_chm –>|löst aus| execution_user execution_user –>|startet| process_cmd process_cmd –>|ermöglicht| execution_msbuild execution_msbuild –>|verwendet| tool_msbuild tool_msbuild –>|lädt| file_dll file_dll –>|ermöglicht| persistence_autostart persistence_autostart –>|modifiziert| registry_mod file_dll –>|ermöglicht| persistence_event persistence_event –>|lädt mit| dll_load dll_load –>|führt aus| privilege_injection privilege_injection –>|injiziert in| process_injection process_injection –>|facilitiert| command_and_control command_and_control –>|verwendet| c2_telegram command_and_control –>|führt zu| impact_shutdown impact_shutdown –>|erstellt| scheduled_task "
Angriffsfluss
Erkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Ansehen
Herunterfahren zur Erzwingung eines Systemstopp oder Neustart verwendet (via cmdline)
Ansehen
LOLBAS HH – Verdächtige Argumente des HTML-Hilfe-Programm (via cmdline)
Ansehen
Verdächtige Binärdateien/Skripte im Autostart-Ort (via file_event)
Ansehen
Mögliche Ausführung durch Schreiben einer Datei mit Microsoft Compiled HTML Help (.chm) Erweiterung (via file_event)
Ansehen
Möglicher Missbrauch von Telegram als Kommando- und Kontrollkanal (via dns_query)
Ansehen
IOCs (HashSha256) zur Erkennung: Rebex-basierter Telegram-RAT mit Ziel Vietnam
Ansehen
CHM-Datei-Ausführung, die zu bösartiger Aktivität führt [Windows-Prozesserstellung]
Ansehen
Simulationsausführung
Voraussetzung: Die Telemetrie- & Basislinien-Vorabprüfung muss bestanden haben.
Rationale: Dieser Abschnitt beschreibt die präzise Ausführung der Angreifertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung spiegeln direkt die identifizierten TTPs wider und zielen darauf ab, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle
-
Zustellung: Der Angreifer liefert eine bösartige
.chmDatei (benanntUpdateHelp.chm) an das Opfer. -
Dekomprimierung: Das Opfer (oder ein bösartiges Skript) führt
hh.exemit dem-decompileFlag aus, um die eingebettete Nutzlast zu extrahieren:hh.exe -decompile C:TempPayloads C:UsersPublicUpdateHelp.chmDies erzeugt das Ereignis der Prozesserstellung auf das die Regel achtet (
hh.exe+-decompile). -
Nutzlastausführung – Umbenannter Interpreter: In den extrahierten Dateien befindet sich ein umbenannter Python-Interpreter (
_pJifgWSwPi.exe). Der Angreifer startet ihn übercmd.exeum unauffällig zu bleiben:cmd.exe /c "C:TempPayloads_pJifgWSwPi.exe -c "import os; os.system('whoami')""Dies erfüllt die
cmd.exeBedingung der Regel. -
Signierte-Binary-Proxy – Msbuild: Die Python-Nutzlast schreibt eine bösartige
.projDatei und ruft dannmsbuild.exeauf, um sie auszuführen und Persistenz oder weitere Codeausführung zu erreichen:msbuild.exe C:TempPayloadsmalicious.proj /target:Build
-
-
Regressionstestskript
#============================================================= # CHM-basierte Angriffssimulation – Löst Sigma-Regel aus #============================================================= # Variablen $chmPath = "C:UsersPublicUpdateHelp.chm" $outFolder = "C:TempPayloads" $renamedPy = "_pJifgWSwPi.exe" $projFile = "malicious.proj" # 1. Sicherstellen, dass der Ausgabeordner existiert New-Item -ItemType Directory -Force -Path $outFolder | Out-Null # 2. Simulation der Dekomprimierung der CHM-Datei Write-Host "[*] Dekomprimierung CHM..." hh.exe -decompile $outFolder $chmPath # 3. Eine Kopie von python.exe (oder einer beliebigen harmlosen exe) als umbenannten Interpreter platzieren Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" ` -Destination "$outFolder$renamedPy" -Force # 4. Den umbenannten Interpreter über cmd.exe ausführen Write-Host "[*] Umbenannten Interpreter über cmd.exe starten..." cmd.exe /c "`"$outFolder$renamedPy`" -c `"Write-Host 'Simulierte Nutzlast ausgeführt'`"" # 5. Ein triviales msbuild-Projekt erstellen, das eine Nachricht ausgibt $projContent = @" <Project ToolsVersion='4.0' xmlns='http://schemas.microsoft.com/developer/msbuild/2003'> <Target Name='Build'> <Message Text='Msbuild hat bösartiges Projekt ausgeführt' Importance='High'/> </Target> </Project> "@ Set-Content -Path "$outFolder$projFile" -Value $projContent -Encoding ASCII # 6. Msbuild.exe auf dem bösartigen Projekt ausführen Write-Host "[*] Msbuild.exe ausführen..." msbuild.exe "$outFolder$projFile" /target:Build Write-Host "[+] Simulation abgeschlossen." -
Bereinigungsbefehle
# Stoppen aller verbleibenden Prozesse (falls noch laufend) Get-Process -Name "_pJifgWSwPi","hh","msbuild","cmd" -ErrorAction SilentlyContinue | Stop-Process -Force # Entfernen der generierten Dateien und Ordner Remove-Item -Recurse -Force -Path "C:TempPayloads" # Optional kann die CHM-Datei gelöscht werden, wenn sie für den Test erstellt wurde Remove-Item -Force -Path "C:UsersPublicUpdateHelp.chm" -ErrorAction SilentlyContinue Write-Host "[+] Bereinigung abgeschlossen."