Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine aktive Spionageoperation, bekannt als SHEETCREEP, basiert auf einem C# Remote-Access-Trojaner, der die Google Sheets API für Kommando und Kontrolle nutzt. Die Angreifer liefern die Malware über ein diplomatisch thematisiertes ISO-Phishing-Lockmittel aus, woraufhin der RAT Persistenz etabliert und Befehle durch einen im Prozess laufenden PowerShell-Raum ausführt. Neuere Stichproben zeigen, dass die Betreiber die Malware durch Einführung von auf XOR-basierender Verschleierung für Konfigurationsdaten gestärkt haben.
Untersuchung
Das Securonix Threat Research-Team entdeckte die Kampagne, indem es eingebettete Google Cloud-Dienstkonto-Anmeldedaten aus der RAT-Binärdatei extrahierte. Nach der Authentifizierung im Live-Kommando-und-Kontroll-Tabellenblatt identifizierten die Forscher 91 aktive Opfer-Tabs, einschließlich Sandboxes, Forschungseinrichtungen und ein Opfer mit hoher Sicherheit in Pakistan. Ihre Analyse zeigte auch, dass der Schutz der Malware-Konfiguration durch einen aktualisierten Verschleierungsansatz weiterentwickelt wurde.
Minderung
Organisationen sollten das Öffnen nicht angeforderter Anhänge vermeiden, insbesondere ISO-Dateien, die LNK-Verknüpfungsdateien enthalten. Verteidiger sollten das %LOCALAPPDATA%MicrosoftVault Verzeichnis auf verdächtige ausführbare Dateien überwachen und geplante Aufgaben auf irreführende oder unerwartete Einträge überprüfen. Eine starke Endpunkt-Visibilität durch Tools wie Sysmon und AMSI kann auch helfen, im Prozess auftretende PowerShell-Aktivitäten aufzudecken, die mit dieser Malware verbunden sind.
Antwort
Bei ungewöhnlichem HTTPS-Verkehr zu Google API-Diensten aus Nicht-Browser-Prozessen sollte das betroffene System sofort isoliert werden. Sicherheitsteams sollten geplante Aufgaben auf unautorisierte Elemente wie WindowsVaultSyncServiceuntersuchen. Eine forensische Überprüfung von %LOCALAPPDATA%MicrosoftVault sollte ebenfalls durchgeführt werden, um verborgene oder dem System zugeordnete Binärdateien zu identifizieren, die mit dem Eindringen in Verbindung stehen.
graph TB %% Klassendefinitionsbereich classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef evasion fill:#9b59b6,stroke:#333,stroke-width:2px classDef command_control fill:#e74c3c,stroke:#333,stroke-width:2px classDef malware fill:#ecf0f1,stroke:#333,stroke-width:2px %% Knoten für den Initial Access node_iso[„<b>Datei</b>: UAE-India_Strategic_Partnership_Week.iso<br/><b>Aktion</b>: Einbinden des ISO-Abbilds<br/><b>Kontext</b>: Diplomatisches Thema für Social Engineering“] class node_iso initial_access node_lnk[„<b>Datei</b>: Bösartige LNK-Verknüpfung<br/><b>Technik</b>: T1027.012 – Verschleierte Dateien oder Informationen: LNK-Icon-Schmuggel<br/><b>Beschreibung</b>: LNK-Datei tarnt sich als PDF-Symbol zur Täuschung des Benutzers“] class node_lnk initial_access %% Ausführungs- und Dropper-Knoten node_user_exec[„<b>Aktion</b>: T1204.002 – Benutzerausführung: Schädliche Datei<br/><b>Beschreibung</b>: Opfer interagiert mit der schädlichen LNK-Datei“] class node_user_exec execution node_dropper[„<b>Malware</b>: C# Dropper<br/><b>Datei</b>: Document_11052026-03578240540350-93.exe<br/><b>Funktion</b>: Extrahiert ein Täuschungs-PDF und legt RAT-Payload ab“] class node_dropper execution %% Persistenz- und Umgehungsknoten node_rat[„<b>Malware</b>: SHEETCREEP RAT<br/><b>Prozess</b>: vaultsvc.exe<br/><b>Speicherort</b>: %LOCALAPPDATA%\\Microsoft\\Vault\\vaultsvc.exe“] class node_rat malware node_attr_evasion[„<b>Aktion</b>: T1027.008 – Verschleierte Dateien oder Informationen: Entfernte Payloads<br/><b>Beschreibung</b>: Setzt RAT-Dateiattribute auf Versteckt und System“] class node_attr_evasion evasion node_persistence[„<b>Aktion</b>: T1137 – Office-Anwendungsstart<br/><b>Methode</b>: Geplante Aufgabe über COM-API<br/><b>Aufgabenname</b>: WindowsVaultSyncService“] class node_persistence persistence node_melt[„<b>Aktion</b>: T1070.004 – Entfernung von Indikatoren: Dateilöschung<br/><b>Beschreibung</b>: Melt-Routine löscht den Dropper und ersetzt ihn durch eine legitime PDF“] class node_melt evasion %% C2- und erweiterte Umgehungsknoten node_c2_api[„<b>Technik</b>: T1102.002 – Webdienst: Bidirektionale Kommunikation<br/><b>Kanal</b>: Google Sheets API<br/><b>Authentifizierung</b>: GCP-Servicekonto und RSA-2048-Schlüssel“] class node_c2_api command_control node_xor_cfg[„<b>Technik</b>: T1573.002 – Verschlüsselter Kanal<br/><b>Beschreibung</b>: XOR-verschlüsselte Konfiguration mit dem Schlüssel ‚discrete‘ für die Spreadsheet-ID“] class node_xor_cfg command_control node_powershell_evasion[„<b>Technik</b>: T1036.011 – Tarnung: Überschreiben von Prozessargumenten<br/><b>Beschreibung</b>: Führt Befehle über eine PowerShell-Runspace innerhalb des Prozesses aus, um EDR zu umgehen“] class node_powershell_evasion evasion %% Verbindungsfluss node_iso –>|enthält| node_lnk node_lnk –>|löst_aus| node_user_exec node_user_exec –>|führt_aus| node_dropper node_dropper –>|legt_ab| node_rat node_dropper –>|wendet_Attribute_an| node_attr_evasion node_dropper –>|etabliert| node_persistence node_dropper –>|führt_aus| node_melt node_rat –>|kommuniziert_über| node_c2_api node_rat –>|verwendet| node_xor_cfg node_rat –>|führt_Befehle_aus_über| node_powershell_evasion
Angriffsablauf
Erkennungen
Mögliche Auswahlnutzung für verzögerte Ausführung (via cmdline)
Anzeigen
VHDMP-Optische Disk-Image wurde gemountet (via VHDMP)
Anzeigen
Verdächtige geplante Aufgabe (via Audit)
Anzeigen
Mögliche Google-Kommando-und-Kontroll-Nutzaktivität (via Proxy)
Anzeigen
IOCs (HashSha256) zum Detektieren: Analyse SHEET#CREEP: SHEETCREEP ist wieder aktiv mit anderer Konfigurationsverschleierung
Anzeigen
IOCs (SourceIP) zum Detektieren: Analyse SHEET#CREEP: SHEETCREEP ist wieder aktiv mit anderer Konfigurationsverschleierung
Anzeigen
IOCs (DestinationIP) zum Detektieren: Analyse SHEET#CREEP: SHEETCREEP ist wieder aktiv mit anderer Konfigurationsverschleierung
Anzeigen
Erkennung der Sheet#CREEP C2-Kommunikation über Google Sheets API [Firewall]
Anzeigen
Erkennung der SHEET#CREEP Malware-Mutex-Nutzung [Windows Sysmon]
Anzeigen
Erkennung von SHEETCREEP Persistenz- und Ausführungsmustern [Windows Prozess-Erstellung]
Anzeigen
Simulationsausführung
Voraussetzung: Die Telemetrie- und Basiskennlinien-Vorprüfung muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Narrative MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genauen Telemetriedaten zu erzeugen, die durch die Erkennungslogik erwartet werden. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angreifergeschichte & Befehle: Der Gegner beabsichtigt, Persistenz zu etablieren und einen Remote-Access-Trojaner (RAT) mit der SHEETCREEP-Technik auszuführen. Zuerst simulieren sie die anfängliche Ausführung über eine bösartige LNK-Datei, die
cmd.exeaufruft, um eine bestimmte verdächtige ausführbare Datei zu starten. Als Nächstes etablieren sie Persistenz, indem sie eine geplante Aufgabe mit dem NamenWindowsVaultSyncServicemit einer täuschenden Beschreibung erstellen, um sich als Systemupdate zu tarnen. Schließlich platzieren sie die Nutzlastvaultsvc.exein dasC:UsersAppDataLocalMicrosoftVaultVerzeichnis und führen sie aus, um den letzten Teil der Erkennungslogik auszulösen. -
Regressionstest-Skript:
# SHEETCREEP Simulationsskript # Hinweis: Dieses Skript muss mit administrativen Rechten ausgeführt werden, um geplante Aufgaben zu erstellen. $targetDir = "$env:LOCALAPPDATAMicrosoftVault" $payloadName = "vaultsvc.exe" $payloadPath = "$targetDir$payloadName" $taskName = "WindowsVaultSyncService" $taskDesc = "Windows Edge Core Update Task Machine Discord Update" Write-Host "[+] Beginn der SHEETCREEP-Simulation..." -ForegroundColor Cyan # 1. Simuliere Auswahl 1: CMD-Ausführung mit spezifischem Muster Write-Host "[+] Simuliere Auswahl 1: CMD-Befehlsmuster..." -ForegroundColor Yellow Start-Process cmd.exe -ArgumentList '/c start "" "Document_11052026-03578240540350-93.exe"' -WindowStyle Hidden # 2. Simuliere Auswahl 2: Geplante Aufgaben-Erstellung Write-Host "[+] Simuliere Auswahl 2: Geplante Aufgaben-Erstellung..." -ForegroundColor Yellow $action = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c echo Persistenz etabliert" $trigger = New-ScheduledTaskTrigger -AtLogOn Register-ScheduledTask -Action $action -Trigger $trigger -TaskName $taskName -Description $taskDesc -Force # 3. Simuliere Auswahl 3: Nutzlastplatzierung und -ausführung Write-Host "[+] Simuliere Auswahl 3: Nutzlastplatzierung und -ausführung..." -ForegroundColor Yellow if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force | Out-Null } # Erstelle eine Dummy-Binärdatei, um den RAT zu imitieren New-Item -Path $payloadPath -ItemType File -Force | Out-Null # Führe die Dummy-Nutzlast aus Start-Process -FilePath $payloadPath -WindowStyle Hidden -ErrorAction SilentlyContinue Write-Host "[+] Simulationsbefehle gesendet. Überprüfen Sie SIEM auf Warnungen." -ForegroundColor Green -
Bereinigungskommandos:
# Bereinigungsskript für SHEETCREEP-Simulation $targetDir = "$env:LOCALAPPDATAMicrosoftVault" $payloadPath = "$targetDirvaultsvc.exe" $taskName = "WindowsVaultSyncService" Write-Host "[+] Bereinigung der Simulationsartefakte..." -ForegroundColor Cyan # Entfernen der geplanten Aufgabe Unregister-ScheduledTask -TaskName $taskName -Confirm:$false -ErrorAction SilentlyContinue # Entfernen von Nutzlast und Verzeichnis if (Test-Path $payloadPath) { Remove-Item $payloadPath -Force } if (Test-Path $targetDir) { Remove-Item $targetDir -Recurse -Force } Write-Host "[+] Bereinigung abgeschlossen." -ForegroundColor Green