SOC Prime Bias: Середній

27 Apr 2026 15:22 UTC

RAT на базі Rebex з Telegram, що націлений на В’єтнам

Author Photo
SOC Prime Team linkedin icon Стежити
RAT на базі Rebex з Telegram, що націлений на В’єтнам
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Зловмисний CHM файл, доставлений у ZIP архіві, встановлює небезпечне середовище виконання Python разом із C++ DLL, яка розшифровує вбудоване навантаження. Це навантаження встановлює стійкість через захоплення оболонки Winlogon, заплановане завдання та зловживання MSBuild, а потім запускає Telegram RAT на базі .NET. Шкідливе програмне забезпечення взаємодіє з ботом Telegram, використовуючи заздалегідь закодований токен, і підтримує виконання команд, заміну токенів та завантаження файлів. Кампанія була сфотографована, націлена на жертв у В’єтнамі, і в даний час не має виявлень на VirusTotal.

Розслідування

Аналіз файлу CHM виявив скрипт, який декомпілював архів, очистив PYTHONHOME, і запустив перейменований виконуваний файл Python із скомпільованим байткод файлом. Байткод потім завантажив DLL, що розшифровувала зашифрований DOCX блоб, вилучила додаткові компоненти і записала їх у тимчасові місця. DLL створив записи реєстру, запланував завдання під назвою Doubt, і виконав MSBuild XML файл для завантаження другої DLL, яка зрештою розгорнула Telegram RAT на базі .NET. RAT покладається на заздалегідь закодовані облікові дані бота Telegram для командного управління.

Захист

Оборонці повинні блокувати виконання CHM файлів з ненадійних джерел і обмежувати використання hh.exe, msbuild.exe, та PowerShell для непідписаних або підозрілих скриптів. Моніторинг повинен бути зосереджений на модифікаціях реєстру Winlogon Shell незвичайні створення запланованих завдань та нові скинуті DLL у тимчасових каталогах. Організації також повинні інспектувати трафік API Telegram через проксі-контроль і забезпечувати доступ з мінімальними привілеями для кінцевих користувачів.

Реакція

Команди безпеки повинні ідентифікувати та ізолювати уражені хости, зібрати летючу інформацію та вилучити шкідливі DLL та скрипти для аналізу. Значення Winlogon Shell та заплановане завдання повинні бути видалені, скинуті файли – видалені, а змінені параметри реєстру повернені до відомого гарного стану. Будь-які викриті токени бота Telegram слід негайно замінити, і оборонці повинні продовжувати моніторинг на додаткову активність командного контролю. Рекомендується повне судово-експертне розслідування, щоб визначити, чи були дані викрадені.

Потік атаки

Виявлення

Можливі точки стійкості [ASEPs – Hive Software/NTUSER] (через registry_event)

Команда SOC Prime
27 квітня 2026

Вимкнення використовується для примусового зупинки або перезавантаження системи (через cmdline)

Команда SOC Prime
27 квітня 2026

LOLBAS HH – Підозрілі аргументи виконуваної програми HTML Help (через cmdline)

Команда SOC Prime
27 квітня 2026

Підозрілі двійкові файли/скрипти у розташуванні автозапуску (через file_event)

Команда SOC Prime
27 квітня 2026

Можливе виконання шляхом запису файлу з розширенням Microsoft Compiled HTML Help (.chm) (через file_event)

Команда SOC Prime
27 квітня 2026

Можливе зловживання Telegram як канала командного управління (через dns_query)

Команда SOC Prime
27 квітня 2026

ІоС (HashSha256) для виявлення: Rebex-основний Telegram RAT, націлений на В’єтнам

Правила SOC Prime AI
27 квітня 2026

Виконання CHM файлу, що привело до шкідливої діяльності [створення процесу в Windows]

Правила SOC Prime AI
27 квітня 2026

Виконання симуляції

Передумова: Перевірка телеметрії та базової лінії повинна бути пройдена.

Обґрунтування: Цей розділ деталізує точне виконання техніки супротивника (TTP), розробленої для активації правила виявлення. Команди та текст точно відображають виявлені TTP і мають на меті згенерувати очікувану телеметрію для логіки виявлення.

  • Наратива та команди атаки

    1. Доставка: Зловмисник доставляє шкідливий .chm файл (названий UpdateHelp.chm) потерпілому.

    2. Декомпіляція: Жертва (або зловмисний скрипт) запускає hh.exe з прапором -decompile щоб витягнути вбудоване навантаження:

      hh.exe -decompile C:TempPayloads C:UsersPublicUpdateHelp.chm

      Це генерує подію створення процесу яку спостерігає правило (hh.exe + -decompile).

    3. Виконання навантаження – перейменований інтерпретатор: Всередині витягнутих файлів є перейменований інтерпретатор Python (_pJifgWSwPi.exe). Зловмисник запускає його через cmd.exe щоб зберегти низький профіль:

      cmd.exe /c "C:TempPayloads_pJifgWSwPi.exe -c "import os; os.system('whoami')""

      Це задовольняє умову правила. cmd.exe Підписаний проксі – Msbuild:

    4. Навантаження Python записує шкідливий файл, а потім викликає файл, а потім викликає для його виконання, досягаючи стійкості або подальшого виконання коду: msbuild.exe Сценарій тесту регресії

      Сценарій тесту регресії
  • #============================================================= # Симуляція атаки на основі CHM – активує Sigma Rule #============================================================= # Змінні $chmPath = “C:UsersPublicUpdateHelp.chm” $outFolder = “C:TempPayloads” $renamedPy = “_pJifgWSwPi.exe” $projFile = “malicious.proj” # 1. Переконайтеся, що існує вихідна папка New-Item -ItemType Directory -Force -Path $outFolder | Out-Null # 2. Симуляція декомпіляції файлу CHM Write-Host “[*] Декомпіляція CHM…” hh.exe -decompile $outFolder $chmPath # 3. Розмістіть копію python.exe (або будь-якого безпечного exe) як перейменований інтерпретатор Copy-Item -Path “$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe” ` -Destination “$outFolder$renamedPy” -Force # 4. Виконайте перейменований інтерпретатор через cmd.exe Write-Host “[*] Запуск перейменованого інтерпретатора через cmd.exe…” cmd.exe /c “`”$outFolder$renamedPy`” -c `”Write-Host ‘Симульоване навантаження виконано’`”” # 5. Створіть тривіальний проект msbuild, який виводить повідомлення $projContent = @” <Проект ToolsVersion=’4.0′ xmlns=’http://schemas.microsoft.com/developer/msbuild/2003′> <Цільове завдання Name=’Build’> <Повідомлення Текст=’Msbuild виконано шкідливий проект’ Важливість=’Висока’/> </Цільове завдання> </Проект> “@ Set-Content -Path “$outFolder$projFile” -Value $projContent -Encoding ASCII # 6. Запустіть msbuild.exe на шкідливому проекті Write-Host “[*] Виконання msbuild.exe…” msbuild.exe “$outFolder$projFile” /target:Build Write-Host “[+] Симуляція завершена.”

    Команди очищення
  • Cleanup Commands

    # Зупиніть будь-які процеси, що залишились (якщо все ще працюють)
    Get-Process -Name "_pJifgWSwPi","hh","msbuild","cmd" -ErrorAction SilentlyContinue |
      Stop-Process -Force
    
    # Видаліть генеровані файли та папки
    Remove-Item -Recurse -Force -Path "C:TempPayloads"
    # За бажанням видаліть файл CHM, якщо він був створений для тесту
    Remove-Item -Force -Path "C:UsersPublicUpdateHelp.chm" -ErrorAction SilentlyContinue
    
    Write-Host "[+] Очищення завершено."