SOC Prime Bias: Medio

27 Apr 2026 15:22 UTC

RAT di Telegram basato su Rebex che prende di mira il Vietnam

Author Photo
SOC Prime Team linkedin icon Segui
RAT di Telegram basato su Rebex che prende di mira il Vietnam
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Un file CHM malevolo fornito all’interno di un archivio ZIP rilascia un runtime Python dannoso insieme a una DLL C++ che decripta un payload incorporato. Quel payload stabilisce la persistenza attraverso un hijack della shell di Winlogon, un’attività pianificata e l’abuso di MSBuild, quindi lancia un RAT basato su .NET Telegram. Il malware comunica con un bot di Telegram utilizzando un token codificato e supporta l’esecuzione di comandi, la sostituzione di token e il download di file. La campagna è stata osservata colpire vittime in Vietnam e attualmente non mostra rilevamenti su VirusTotal.

Indagine

L’analisi del file CHM ha rivelato uno script che decompilava l’archivio, cancellava PYTHONHOME, e lanciava un eseguibile Python rinominato con un file di bytecode compilato. Il bytecode quindi caricava una DLL che decriptava un blob DOCX crittografato, estraeva componenti aggiuntivi e li scriveva in posizioni temporanee. La DLL creava voci nel registro, pianificava un’attività chiamata Doubt, ed eseguiva un MSBuild file XML per caricare una seconda DLL, che alla fine distribuiva il RAT Telegram .NET. Il RAT si basava su credenziali codificate del bot Telegram per il comando e controllo.

Mitigazione

I difensori dovrebbero bloccare l’esecuzione dei file CHM da fonti non attendibili e limitare l’uso di hh.exe, msbuild.exe, e PowerShell per script non firmati o sospetti. Il monitoraggio dovrebbe concentrarsi sulle modifiche del registro della Shell di Winlogon, sulla creazione insolita di attività pianificate e sui nuovi DLL rilasciati nelle directory temporanee. Le organizzazioni dovrebbero anche ispezionare il traffico API di Telegram attraverso controlli proxy e applicare l’accesso minimo necessario per gli utenti finali. Shell registry modifications, unusual scheduled task creation, and newly dropped DLLs in temporary directories. Organizations should also inspect Telegram API traffic through proxy controls and enforce least-privilege access for end users.

Risposta

I team di sicurezza dovrebbero identificare e isolare i dispositivi compromessi, raccogliere prove volatili ed estrarre le DLL e gli script malevoli per l’analisi. Il valore di Winlogon e l’attività pianificata dovrebbero essere rimossi, i file depositati cancellati e le impostazioni del registro modificate ripristinate a uno stato noto buono. Qualsiasi token del bot Telegram esposto deve essere ruotato immediatamente e i difensori devono continuare a monitorare per ulteriori attività di comando e controllo. È raccomandata un’indagine forense completa per determinare se i dati siano stati esfiltrati. Shell value and the scheduled task should be removed, dropped files deleted, and altered registry settings restored to a known-good state. Any exposed Telegram bot tokens should be rotated immediately, and defenders should continue monitoring for additional command-and-control activity. A full forensic investigation is recommended to determine whether data was exfiltrated.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il Check Pre-volo di Telemetria & Baseline deve essere superato.

Motivo: Questa sezione descrive l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione riflettono direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrazione dell’Attacco & Comandi

    1. Consegna: L’attaccante consegna un file .chm malevolo (chiamato UpdateHelp.chm) alla vittima.

    2. Decompilazione: La vittima (o uno script malevolo) esegue hh.exe con il -decompile flag per estrarre il payload incorporato:

      hh.exe -decompile C:TempPayloads C:UsersPublicUpdateHelp.chm

      Questo genera l’evento processo‑creazione che la regola osserva (hh.exe + -decompile).

    3. Esecuzione del Payload – Interprete Rinominato: All’interno dei file estratti c’è un interprete Python rinominato (_pJifgWSwPi.exe). L’attaccante lo avvia tramite cmd.exe per mantenere un basso profilo:

      cmd.exe /c "C:TempPayloads_pJifgWSwPi.exe -c "import os; os.system('whoami')""

      Questo soddisfa la condizione della cmd.exe regola.

    4. Proxy di Binary Firmato – Msbuild: Il payload Python scrive un file .proj malevolo e quindi invoca msbuild.exe per eseguirlo, ottenendo persistenza o ulteriore esecuzione del codice:

      msbuild.exe C:TempPayloadsmalicious.proj /target:Build
  • Script di Test Regressivo

    #=============================================================
    # Simulazione di Attacco Basato su CHM – Attiva Regola Sigma
    #=============================================================
    
    # Variabili
    $chmPath   = "C:UsersPublicUpdateHelp.chm"
    $outFolder = "C:TempPayloads"
    $renamedPy = "_pJifgWSwPi.exe"
    $projFile  = "malicious.proj"
    
    # 1. Assicurarsi che la cartella di output esista
    New-Item -ItemType Directory -Force -Path $outFolder | Out-Null
    
    # 2. Simulare la decompilazione del file CHM
    Write-Host "[*] Decompiling CHM..."
    hh.exe -decompile $outFolder $chmPath
    
    # 3. Posizionare una copia di python.exe (o qualsiasi exe benigno) come interprete rinominato
    Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
              -Destination "$outFolder$renamedPy" -Force
    
    # 4. Eseguire l'interprete rinominato tramite cmd.exe
    Write-Host "[*] Launching renamed interpreter via cmd.exe..."
    cmd.exe /c "`"$outFolder$renamedPy`" -c `"Write-Host 'Simulated payload executed'`""
    
    # 5. Creare un progetto msbuild banale che visualizzi un messaggio
    $projContent = @"
    <Project ToolsVersion='4.0' xmlns='http://schemas.microsoft.com/developer/msbuild/2003'>
      <Target Name='Build'>
        <Message Text='Msbuild executed malicious project' Importance='High'/>
      </Target>
    </Project>
    "@
    Set-Content -Path "$outFolder$projFile" -Value $projContent -Encoding ASCII
    
    # 6. Eseguire msbuild.exe sul progetto malevolo
    Write-Host "[*] Executing msbuild.exe..."
    msbuild.exe "$outFolder$projFile" /target:Build
    
    Write-Host "[+] Simulazione completata."
  • Comandi di Pulizia

    # Interrompere eventuali processi residui (se ancora in esecuzione)
    Get-Process -Name "_pJifgWSwPi","hh","msbuild","cmd" -ErrorAction SilentlyContinue |
      Stop-Process -Force
    
    # Rimuovere file e cartelle generate
    Remove-Item -Recurse -Force -Path "C:TempPayloads"
    # Opzionalmente eliminare il file CHM se è stato creato per il test
    Remove-Item -Force -Path "C:UsersPublicUpdateHelp.chm" -ErrorAction SilentlyContinue
    
    Write-Host "[+] Pulizia completata."