Nightmare-Eclipse pasa de PoC Pública a Ataques del Mundo Real

SOC Prime Team

Seguir

Nightmare-Eclipse pasa de PoC Pública a Ataques del Mundo Real

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

Huntress documentó una intrusión en vivo en la que los atacantes utilizaron herramientas de escalación de privilegios disponibles públicamente conocidas como BlueHammer, RedSun y UnDefend. La operación comenzó con credenciales comprometidas del FortiGate SSL VPN, que dieron a los intrusos acceso al entorno y les permitieron colocar binarios maliciosos en carpetas escribibles por el usuario. Una vez dentro, ejecutaron comandos de reconocimiento y desplegaron una utilidad de tunelización personalizada basada en Go llamada BeigeBurrow. El caso destaca cómo las herramientas de explotación como prueba de concepto pueden pasar rápidamente de su liberación pública a actividad de intrusión activa.

Investigación

La investigación rastreó la actividad maliciosa hasta sesiones comprometidas del FortiGate SSL VPN que originaban de direcciones IP en Rusia, Singapur y Suiza. Los analistas encontraron binarios incluyendo FunnyApp.exe, RedSun.exe, undef.exe, y un agente de tunelización basado en Go llamado agent.exe almacenado en las carpetas de Imágenes and Descargas . Los atacantes también ejecutaron comandos manuales como whoami /priv, cmdkey /list, y net group para enumerar privilegios y credenciales. El agente de tunelización estableció un túnel inverso basado en yamux a staybud.dpdns.org a través del puerto 443 para mantener el acceso remoto.

Mitigación

Los defensores deben monitorear la ejecución desde rutas de usuario escribibles inusuales, detectar los nombres de binarios conocidos e investigar alertas de Microsoft Defender como Exploit:Win32/DfndrPEBluHmr.BZ y detecciones relacionadas con EICAR. Los registros de VPN deben revisarse para detectar inicios de sesión sospechosos desde geografías muy separadas, y deben bloquearse cualquier IP de fuente no confiable. Los equipos de seguridad también deben desplegar detecciones de endpoint para la actividad de BlueHammer, RedSun y UnDefend y priorizar la remediación para CVE-2026-33825.

Respuesta

Si se detecta esta actividad, aísle inmediatamente el endpoint afectado, termine el agente de tunelización y elimine todos los binarios almacenados del host. Restablezca las credenciales de VPN comprometidas y aplique la autenticación multifactor para el acceso remoto. Los respondedores de incidentes también deben realizar una revisión completa para el volcado de credenciales, aplicar el parche de Microsoft para CVE-2026-33825, y buscar en el entorno cualquier rastro restante de las herramientas de escalación de privilegios.

"graph TB %% Definiciones de clases classDef action fill:#99ccff classDef builtin fill:#ffcc99 classDef malware fill:#ccffcc %% Nodos u2013 Acciones action_initial_access["Acción – T1078 Cuentas Válidas Las credenciales comprometidas de FortiGate SSL VPN proporcionan acceso legítimo a la red."] class action_initial_access action action_execution["Acción – Ejecución desde rutas escribibles por el usuario Se ejecutan binarios colocados en Imágenes y Descargas."] class action_execution action action_priv_esc_exploit["Acción – T1068 Explotación para Escalación de Privilegios BlueHammer explota una vulnerabilidad TOCTOU en Windows Defender para obtener un control en la base de datos SAM y elevar a SYSTEM."] class action_priv_esc_exploit action action_priv_esc_abuse["Acción – T1548 Abusar del Mecanismo de Control de Elevación RedSun aprovecha una condición de carrera en el flujo de remediación de archivos en la nube de Defender para escribir un ejecutable malicioso en C:WindowsSystem32 y obtener privilegios SYSTEM."] class action_priv_esc_abuse action action_credential_dump["Acción – T1003 Volcado de Credenciales del SO BlueHammer lee la colmena SAM desde una Copia de Sombra de Volumen para extraer hashes de contraseñas NTLM."] class action_credential_dump action action_pass_the_hash["Acción – T1550.002 Pass the Hash Los hashes extraídos están destinados para el movimiento lateral usando Passu2011theu2011Hash (no se observó que tuviera éxito)."] class action_pass_the_hash action action_defense_evasion["Acción – T1211 Explotación para Evasión de Defensa UnDefend bloquea archivos de definición del antivirus y previene reinicios del servicio de Defender, deshabilitando temporalmente el antivirus."] class action_defense_evasion action action_c2["Acción – T1071.001 Protocolos Web El agente BeigeBurrow crea un túnel inverso HTTPS persistente usando la biblioteca de multiplexación yamux."] class action_c2 action %% Nodos u2013 Malware / Herramientas malware_funnyapp["Malware – Nombre: FunnyApp.exe Ubicación: UsuarioImágenes"] class malware_funnyapp malware malware_redsun["Malware – Nombre: RedSun.exe Ubicación: UsuarioDescargas"] class malware_redsun malware malware_undef["Malware – Nombre: undef.exe Ubicación: UsuarioDescargas"] class malware_undef malware malware_z["Malware – Nombre: z.exe Ubicación: UsuarioDescargas"] class malware_z malware malware_beigeburrow["Malware – Nombre: Agente BeigeBurrow (agent.exe)"] class malware_beigeburrow malware tool_bluehammer["Herramienta – Nombre: BlueHammer Descripción: Exploits Defender TOCTOU para capturar control SAM y volcar credenciales."] class tool_bluehammer builtin tool_redsun["Herramienta – Nombre: RedSun Descripción: Escribe ejecutable malicioso en C:WindowsSystem32 a través de condición de carrera de Defender."] class tool_redsun builtin tool_undefend["Herramienta – Nombre: UnDefend Descripción: Bloquea archivos de definición del AV y previene reinicios del servicio de Defender."] class tool_undefend builtin %% Conexiones u2013 Flujo de Ataque action_initial_access –>|lleva_a| action_execution action_execution –>|ejecuta| malware_funnyapp action_execution –>|ejecuta| malware_redsun action_execution –>|ejecuta| malware_undef action_execution –>|ejecuta| malware_z malware_redsun –>|usa| tool_redsun malware_funnyapp –>|cae| tool_bluehammer action_priv_esc_exploit –>|usa| tool_bluehammer action_priv_esc_exploit –>|lleva_a| action_priv_esc_abuse action_priv_esc_abuse –>|usa| tool_redsun action_priv_esc_abuse –>|habilita| action_credential_dump action_credential_dump –>|produce| action_pass_the_hash action_defense_evasion –>|usa| tool_undefend action_c2 –>|establecido_por| malware_beigeburrow "

Flujo de Ataque

Narrativa del Ataque y Comandos:
Un adversario que ha obtenido un punto de acceso en un host de Windows desea confirmar el nivel de privilegio de la cuenta comprometida y enumerar las credenciales almacenadas y los grupos de dominio para el movimiento lateral. Para permanecer desapercibido, el atacante utiliza binarios nativos de Windows (whoami, cmdkey, net) ejecutados directamente desde un indicador de PowerShell, evitando cualquier herramienta de terceros que generaría alertas adicionales. Cada comando crea un proceso, produciendo un registro de ID de Evento 4688 con la línea de comandos exacta que la regla Sigma busca.

Script de Prueba de Regresión:

 # -----------------------------------------------------------------
  # Simular Reconocimiento Manual para activar la regla Sigma
  # -----------------------------------------------------------------
  # 1. Mostrar privilegios actuales del token
  whoami /priv

  # 2. Listar credenciales guardadas de Windows
  cmdkey /list

  # 3. Enumerar grupos de dominio (requiere contexto de dominio)
  net group

  # Pausa para permitir la ingesta de SIEM
  Start-Sleep -Seconds 10

Comandos de Limpieza:

 # Eliminar cualquier artefacto temporal (ninguno creado)
  # Limpiar historial de comandos de PowerShell para sigilo (opcional)
  Clear-History

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis