SOC Prime Bias: Середній

27 May 2026 15:51 UTC
newspaper icon JUMPSEC

BlackToad використовує маніпуляцію мережею в AutoIt пейлоуді

Author Photo
SOC Prime Team linkedin icon Стежити
BlackToad використовує маніпуляцію мережею в AutoIt пейлоуді
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

JUMPSEC виявила фішингову кампанію, яка доставляє вірус Remcos RAT, прихований всередині кастомного AutoIt-криптера. Ланцюжок зараження використовує VBS-скрипт для запуску ipconfig /release слідує ipconfig /renew, що короткочасно порушує підключення до мережі як спосіб ухилитися від виявлення. Дослідники пов’язали кампанію з нігерійською екосистемою е-криміналу, інфраструктура якої залежить від динамічних DNS-доменів, що розміщені за мобільними підключеннями ISP.

Розслідування

Розслідування відстежило шкідливий електронний лист, розпакувало вбудований архів WinRAR, що саморозпаковується, та ідентифікувало завантажувач VBS, який запускав замаскований інтерпретатор AutoIt. Сценарій AutoIt потім розшифрував і виконав імплант Remcos, тоді як відновлена конфігурація виявила домени командування і контролю, значення м’ютексу та ключ запуску для збереження. Дослідники відображали підтримуючу інфраструктуру на три динамічні DNS-домени та обережний набір нігерійських IP-адрес.

Пом’якшення

Організації мають заблокувати виявлені динамічні DNS-домени та асоційовані діапазони IP, моніторити підозрілу ipconfig /release and ipconfig /renew послідовність, та виявляти AutoIt або VBS-скрипти, що породжують cmd.exe. Сильний контроль виконання також слід застосовувати до файлів, які використовують оманливі подвійні розширення, тоді як записи запуску реєстру, такі як WindowsUpdate мають бути під моніторингом на предмет зловживань.

Відповідь

Якщо цю активність виявлено, ізолюйте постраждалий кінцевий пристрій негайно, припиніть процес Remcos, видаліть шкідливий ключ запуску, який використовується для стійкості, і проведіть повний судово-медичний огляд на наявність крадіжки облікових даних або подальших дій. Контент виявлення також має бути оновлено для ідентифікації технік з перериванням мережі та конкретних шаблонів імен файлів, пов’язаних з кампанією.

graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef data fill:#ccffcc %% Вузли email_phishing[“<b>Дія</b> – <b>T1204.001 Виконання користувачем: шкідливе посилання</b><br/>Жертва отримує електронний лист із зображенням, що містить шкідливе посилання MediaFire.”] class email_phishing action download_payload[“<b>Дія</b> – <b>T1566.001 Фішинг: вкладення для spearphishing</b><br/>Жертва завантажує WinRAR SFX виконуваний файл, замаскований під .pdf.scr.”] class download_payload action file_double_ext[“<b>Дія</b> – <b>T1036.007 Маскування: подвійне розширення файлу</b><br/>Файл з назвою <i>invoice.pdf.scr</i> приховує .scr виконуваний файл.”] class file_double_ext action script_vbs[“<b>Дія</b> – <b>T1059.005 Інтерпретатор команд і сценаріїв: Visual Basic</b><br/>VBS сценарій (flvs.vbe) формує рядок cmd.exe та запускає команди.”] class script_vbs action tool_autoi[“<b>Інструмент</b> – <b>Назва</b>: Інтерпретатор AutoIt (перейменований у .xls)<br/><b>Призначення</b>: Виконує шкідливий AutoIt сценарій.”] class tool_autoi tool script_autoi_obf[“<b>Дія</b> – <b>T1059.010 Інтерпретатор команд і сценаріїв: AutoIt/AutoHotKey</b><br/>Виконується сильно обфускований AutoIt сценарій.”] class script_autoi_obf action obfusc_junk[“<b>Дія</b> – <b>T1027.016 Обфусковані файли або інформація: вставка сміттєвого коду</b><br/>Сценарій містить 88 MB беззмістовних блоків коментарів.”] class obfusc_junk action obfusc_stripped[“<b>Дія</b> – <b>T1027.008 Обфусковані файли або інформація: stripped payloads</b><br/>Payload упакований усередині великих filler-даних із кастомним hex-кодуванням.”] class obfusc_stripped action malware_remcos[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: Remcos RAT<br/><b>Функція</b>: Віддалений доступ і керування.”] class malware_remcos malware c2_dns[“<b>Дія</b> – <b>T1071.004 Протокол прикладного рівня: DNS</b><br/>Використовує dynamic-DNS hostnames для зв’язку з C2 серверами через зашифрований TLS.”] class c2_dns action persistence_autostart[“<b>Дія</b> – <b>T1547.014 Автозапуск під час завантаження або входу: Active Setup</b><br/>Створює ключ реєстру HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate.”] class persistence_autostart action trusted_util[“<b>Дія</b> – <b>T1127 Proxy Execution через довірені developer utilities</b><br/>Використовує легітимний AutoIt інтерпретатор як довірену утиліту для запуску шкідливого коду.”] class trusted_util action deobfuscation[“<b>Дія</b> – <b>T1140 Деобфускація/декодування файлів або інформації</b><br/>Дослідники декодують кастомно hex-кодований PE та RC4-зашифровану конфігурацію Remcos.”] class deobfuscation action %% Зв’язки email_phishing –>|призводить до| download_payload download_payload –>|містить| file_double_ext file_double_ext –>|запускає| script_vbs script_vbs –>|завантажує| tool_autoi tool_autoi –>|виконує| script_autoi_obf script_autoi_obf –>|містить| obfusc_junk script_autoi_obf –>|містить| obfusc_stripped script_autoi_obf –>|запускає| malware_remcos malware_remcos –>|використовує| c2_dns malware_remcos –>|створює| persistence_autostart tool_autoi –>|використовується_як| trusted_util obfusc_junk –>|сприяє| deobfuscation obfusc_stripped –>|сприяє| deobfuscation

Потік Атаки

Виявлення

Можливі Точки Стійкості [ASEP – Hive Software/NTUSER] (через реєстрову подію)

Команда SOC Prime
27 травня 2026

Перегляд

Можливий звернений Динамічний DNS-Сервіс (через DNS)

Команда SOC Prime
27 травня 2026

Перегляд

Можливий Шкідливий SCR Файл з Подвійним Розширенням (через командний рядок)

Команда SOC Prime
27 травня 2026

Перегляд

IOC (HashSha256) для виявлення: BlackToad: Маніпуляція з мережею в AutoIt навантаженні

Правила SOC Prime AI
27 травня 2026

Перегляд

IOC (HashMd5) для виявлення: BlackToad: Маніпуляція з мережею в AutoIt навантаженні

Правила SOC Prime AI
27 травня 2026

Перегляд

IOC (SourceIP) для виявлення: BlackToad: Маніпуляція з мережею в AutoIt навантаженні

Правила SOC Prime AI
27 травня 2026

Перегляд

IOC (DestinationIP) для виявлення: BlackToad: Маніпуляція з мережею в AutoIt навантаженні

Правила SOC Prime AI
27 травня 2026

Перегляд

Виявлення Комунікації C2 BlackToad [Підключення до Мережі Windows]

Правила SOC Prime AI
27 травня 2026

Перегляд

Маніпуляція з Мережею BlackToad через AutoIt Навантаження [Створення Процесу Windows]

Правила SOC Prime AI
27 травня 2026

Перегляд

Виконання Симуляції

Попередня умова: Перевірка перед польотом Телеметрії та Базової лінії повинна пройдено.

Мотив: У цьому розділі детально описується точне виконання технік супротивника (TTP), спроєктованих для спрацювання правила виявлення. Команди та наратив МУСИТЬ безпосередньо відображати визначені TTP та мають мету створити саме ту телеметрію, що очікується виявленням. Абстрактні або нерелевантні приклади призведуть до неправильної діагностики.

  • Наратив Атаки та Команди:

    1. Мета: Встановити канал C2 з імплантом BlackToad Remcos, використовуючи один із відомих шкідливих DDNS доменів на жорстко закодованому порту 50240.
    2. Крок‑за‑кроком:
      • Вирішити обраний шкідливий DDNS домен (pmitm.ddns.net).
      • Відкрити TCP сокет до дозволеної IP по порту 50240.
      • Відправити мінімальний «heartbeat» пакет для імітації початкового рукостискання імпланта.
      • Утримувати сокет відкритим на 30 секунд, щоб брандмауер записав вихідне з’єднання.
    3. Вихідне з’єднання точно відповідає списку destination.ip переліку та destination.port критеям, створюючи виявляєму подію брандмауера.

  • Скрипт Тесту Регресії:

     # Імітація Комунікації C2 BlackToad (PowerShell)
  $c2Domain = "pmitm.ddns.net"      # один із доменів у списку правила
  $c2Port   = 50240

  try {
      # Розв'язання домену в IP (додає телеметрію DNS запиту)
      $ip = [System.Net.Dns]::GetHostAddresses($c2Domain) |
            Where-Object { $_.AddressFamily -eq 'InterNetwork' } |
            Select-Object -First 1

      if (-not $ip) { throw "Недосяжний для розв'язання $c2Domain" }

      Write-Host "Розв'язано $c2Domain до $($ip.IPAddressToString). Підключення..."

      # Відкрити TCP з'єднання (генерує лог виходу брандмауера)
      $client = New-Object System.Net.Sockets.TcpClient
      $client.Connect($ip, $c2Port)

      # Відправка простого 'heartbeat' (hex 0x01)
      $stream = $client.GetStream()
      $payload = [byte[]](0x01)
      $stream.Write($payload, 0, $payload.Length)

      Write-Host "Heartbeat відправлено. Утримання з'єднання активним 30 секунд..."
      Start-Sleep -Seconds 30

      $stream.Close()
      $client.Close()
      Write-Host "З'єднання закрито чисто."
  }
  catch {
      Write-Error "Імітація не вдалася: $_"
  }

  • Команди Закриття:

     # Забезпечте закриття всіх залишкових сокетів
  Get-NetTCPConnection -RemotePort 50240 -State Established |
      ForEach-Object { Stop-Process -Id $_.OwningProcess -Force }
  # Необов'язково: Очистіть DNS кеш, щоб видалити дозволений запис DDNS
  ipconfig /flushdns
  Write-Host "Очищення завершено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно