SOC Prime Bias: Crítico

22 Apr 2026 15:41 UTC
newspaper icon Huntress

Nightmare-Eclipse Passa de Prova de Conceito Pública para Ataques no Mundo Real

Author Photo
SOC Prime Team linkedin icon Seguir
Nightmare-Eclipse Passa de Prova de Conceito Pública para Ataques no Mundo Real
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Huntress documentou uma intrusão ao vivo na qual os atacantes usaram ferramentas de escalonamento de privilégio publicamente disponíveis conhecidas como BlueHammer, RedSun e UnDefend. A operação começou com credenciais comprometidas do FortiGate SSL VPN, que deram aos invasores acesso ao ambiente e permitiram que eles preparassem binários maliciosos em pastas graváveis ​​por usuários. Uma vez dentro, eles executaram comandos de reconhecimento e implantaram uma ferramenta de tunelamento personalizada baseada em Go chamada BeigeBurrow. O caso destaca como as ferramentas de exploração de prova de conceito podem rapidamente passar do lançamento público para a atividade de intrusão ativa.

Investigação

A investigação rastreou a atividade maliciosa para sessões de SSL VPN FortiGate comprometidas originadas de endereços IP na Rússia, Cingapura e Suíça. Os analistas encontraram binários incluindo FunnyApp.exe, RedSun.exe, undef.exe, e um agente de tunelamento baseado em Go chamado agent.exe armazenados em diretórios de Imagens and Downloads . Os atacantes também executaram comandos diretos no teclado, como whoami /priv, cmdkey /list, e net group para enumerar privilégios e credenciais. O agente de tunelamento estabeleceu um túnel reverso baseado em yamux para staybud.dpdns.org através da porta 443 para manter o acesso remoto.

Mitigação

Os defensores devem monitorar a execução a partir de caminhos inusitados graváveis ​pelo usuário, detectar os nomes de binários conhecidos e investigar alertas do Microsoft Defender, como Exploit:Win32/DfndrPEBluHmr.BZ e detecções relacionadas ao EICAR. Os logs de VPN devem ser revisados ​​quanto a logins suspeitos de geografias amplamente separadas, e quaisquer IPs de origem não confiáveis devem ser bloqueados. As equipes de segurança também devem implantar detecções de endpoint para atividades do BlueHammer, RedSun e UnDefend e priorizar a remediação para CVE-2026-33825.

Resposta

Se essa atividade for detectada, isole imediatamente o endpoint afetado, termine o agente de tunelamento e remova todos os binários preparados do host. Redefina as credenciais de VPN comprometidas e imponha a autenticação multifator para o acesso remoto. Os respondedores de incidentes também devem realizar uma revisão completa para dumping de credenciais, aplicar o patch da Microsoft para CVE-2026-33825, e caçar em todo o ambiente quaisquer vestígios restantes das ferramentas de escalonamento de privilégio.

"graph TB %% Class definitions classDef action fill:#99ccff classDef builtin fill:#ffcc99 classDef malware fill:#ccffcc %% Nodes u2013 Actions action_initial_access["<b>Action</b> – <b>T1078 Contas Válidas</b><br/>Credenciais comprometidas do FortiGate SSL VPN fornecem acesso legítimo à rede."] class action_initial_access action action_execution["<b>Ação</b> – Execução a partir de caminhos graváveis ​​por usuários<br/>Binários colocados em Imagens e Downloads são executados."] class action_execution action action_priv_esc_exploit["<b>Ação</b> – <b>T1068 Exploração para Escalonamento de Privilégios</b><br/>BlueHammer explora uma vulnerabilidade TOCTOU no Windows Defender para obter um identificador para o banco de dados SAM e se elevar ao SISTEMA."] class action_priv_esc_exploit action action_priv_esc_abuse["<b>Ação</b> – <b>T1548 Abuso do Mecanismo de Controle de Elevação</b><br/>RedSun utiliza uma condição de corrida no fluxo de remediação de arquivo de nuvem do Defender para escrever um executável malicioso em C:WindowsSystem32 e ganhar privilégios de SISTEMA."] class action_priv_esc_abuse action action_credential_dump["<b>Ação</b> – <b>T1003 Dumping de Credenciais do SO</b><br/>BlueHammer lê a colmeia SAM de uma Cópia de Sombra de Volume para extrair hashes de senha NTLM."] class action_credential_dump action action_pass_the_hash["<b>Ação</b> – <b>T1550.002 Pass the Hash</b><br/>Hashes extraídos são destinados ao movimento lateral usando Passu2011theu2011Hash (não observado sucesso)."] class action_pass_the_hash action action_defense_evasion["<b>Ação</b> – <b>T1211 Exploração para Evasão de Defesa</b><br/>UnDefend bloqueia arquivos de definição do Defender e impede reinicializações do serviço, desabilitando temporariamente o antivírus."] class action_defense_evasion action action_c2["<b>Ação</b> – <b>T1071.001 Protocolos Web</b><br/>Agente BeigeBurrow cria um túnel HTTPS reverso persistente usando a biblioteca de multiplexação yamux."] class action_c2 action %% Nodes u2013 Malware / Tools malware_funnyapp["<b>Malware</b> – <b>Nome</b>: FunnyApp.exe<br/><b>Localização</b>: UsuárioImagens"] class malware_funnyapp malware malware_redsun["<b>Malware</b> – <b>Nome</b>: RedSun.exe<br/><b>Localização</b>: UsuárioDownloads"] class malware_redsun malware malware_undef["<b>Malware</b> – <b>Nome</b>: undef.exe<br/><b>Localização</b>: UsuárioDownloads"] class malware_undef malware malware_z["<b>Malware</b> – <b>Nome</b>: z.exe<br/><b>Localização</b>: UsuárioDownloads"] class malware_z malware malware_beigeburrow["<b>Malware</b> – <b>Nome</b>: Agente BeigeBurrow (agent.exe)"] class malware_beigeburrow malware tool_bluehammer["<b>Ferramenta</b> – <b>Nome</b>: BlueHammer<br/><b>Descrição</b>: Explora TOCTOU do Defender para capturar manipulador de SAM e despejar credenciais."] class tool_bluehammer builtin tool_redsun["<b>Ferramenta</b> – <b>Nome</b>: RedSun<br/><b>Descrição</b>: Escreve executável malicioso para C:WindowsSystem32 via condição de corrida do Defender."] class tool_redsun builtin tool_undefend["<b>Ferramenta</b> – <b>Nome</b>: UnDefend<br/><b>Descrição</b>: Bloqueia arquivos de definição de AV e impede reinicializações do serviço Defender."] class tool_undefend builtin %% Connections u2013 Attack Flow action_initial_access –>|leads_to| action_execution action_execution –>|executes| malware_funnyapp action_execution –>|executes| malware_redsun action_execution –>|executes| malware_undef action_execution –>|executes| malware_z malware_redsun –>|uses| tool_redsun malware_funnyapp –>|drops| tool_bluehammer action_priv_esc_exploit –>|uses| tool_bluehammer action_priv_esc_exploit –>|leads_to| action_priv_esc_abuse action_priv_esc_abuse –>|uses| tool_redsun action_priv_esc_abuse –>|enables| action_credential_dump action_credential_dump –>|produces| action_pass_the_hash action_defense_evasion –>|uses| tool_undefend action_c2 –>|established_by| malware_beigeburrow "

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Verificação de Pré-vôo de Telemetria & Base precisa ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:
    Um adversário que obteve uma posição em um host Windows deseja confirmar o nível de privilégio da conta comprometida e enumerar credenciais armazenadas e grupos de domínio para movimento lateral. Para ficar sob o radar, o atacante usa binários nativos do Windows (whoami, cmdkey, net) executados diretamente de um prompt do PowerShell — evitando quaisquer ferramentas de terceiros que gerariam alertas adicionais. Cada comando cria um processo, produzindo um registro de Event ID 4688 com a linha de comando exata que a regra Sigma monitora.

  • Script de Teste de Regressão:

     # -----------------------------------------------------------------
  # Simular Reconhecimento Direto no Teclado para acionar a regra Sigma
  # -----------------------------------------------------------------
  # 1. Exibir privilégios de token atuais
  whoami /priv

  # 2. Listar credenciais do Windows salvas
  cmdkey /list

  # 3. Enumerar grupos de domínio (requer contexto de domínio)
  net group

  # Pausar para permitir a ingestão SIEM
  Start-Sleep -Seconds 10

  • Comandos de Limpeza:

     # Remover quaisquer artefatos temporários (nenhum criado)
  # Limpar histórico de comandos do PowerShell para furtividade (opcional)
  Clear-History

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente