SOC Prime Bias: Критичний

18 Jun 2026 14:28 UTC
newspaper icon picussecurity.com

Техніки атаки SloppyLemming та бекдор BurrowShell пояснені

Author Photo
SOC Prime Team linkedin icon Стежити
Техніки атаки SloppyLemming та бекдор BurrowShell пояснені
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

SloppyLemming — це група кібершпіонажу, яка націлюється на критичні галузі по всій Південній та Східній Азії. Група покладається на фішинг-атаки з метою доставки індивідуально спроектованого шкідливого ПЗ, включаючи бекдор BurrowShell і кейлоггер на базі Rust. Вона також широко використовує Cloudflare Workers для підтримки активності командного управління та операцій викрадення облікових даних.

Розслідування

Звіт описує багатоступеневу кампанію із залученням шкідливих макросів Excel і підроблених порталів аутентифікації. Дослідники ідентифікували піддомени Cloudflare, створені для наслідування державних органів, та проаналізували кастомні шеллкоди групи разом із їхніми можливостями кейлогінгу. Розслідування також показує, як SloppyLemming уникає статичного аналізу через динамічне вирішення API та RC4-зашифровувані корисні навантаження.

Пом’якшення

Організації повинні впроваджувати сильну фільтрацію пошти, щоб блокувати шкідливі вкладення та фішингові посилання до їх отримання. Команди безпеки повинні відстежувати несанкціоновані модифікації ключів запуску і підозрілих взаємозв’язків батьківських і дочірніх процесів, включаючи NGenTask.exe завантаження несподіваних DLL. Виявлення також повинно охоплювати незвичайний трафік Cloudflare Worker і будь-які ознаки несанкціонованого використання OAuth токенів.

Реакція

Якщо активність виявлено, ізолюйте уражені системи негайно, щоб зупинити подальше витік інформації через канал командного управління. Виконайте криміналістичний аналіз пам’яті, щоб відновити шеллкод BurrowShell і визначити масштаби компрометації. Скиньте облікові дані для всіх облікових записів, які могли бути піддані ризику через кейлоггер або перехоплення OAuth, з особливим акцентом на облікові записи Google.

graph TB %% Визначення класів classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef evasion fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#9b59b6,stroke:#333,stroke-width:2px classDef discovery fill:#f1c40f,stroke:#333,stroke-width:2px classDef collection fill:#1abc9c,stroke:#333,stroke-width:2px classDef command_control fill:#34495e,stroke:#333,stroke-width:2px classDef exfiltration fill:#d35400,stroke:#333,stroke-width:2px %% Вузли початкового доступу ia_spearphish_attach[“<b>Дія</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/>Шкідливі документи Microsoft Excel<br/>з вбудованими VBA-макросами.”] class ia_spearphish_attach initial_access ia_spearphish_link[“<b>Дія</b> – <b>T1566.002 Phishing: Spearphishing Link</b><br/>Фальшиві вебпоштові портали або<br/>підроблені PDF-документи-приманки.”] class ia_spearphish_link initial_access %% Вузол виконання ex_vba_interpreter[“<b>Дія</b> – <b>T1059.005 Command and Scripting Interpreter: Visual Basic</b><br/>Макроси виконують завантаження та запуск<br/>шкідливих файлів, таких як audiodg.exe і sppc.dll.”] class ex_vba_interpreter execution %% Вузол закріплення pe_registry_run[“<b>Дія</b> – <b>T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder</b><br/>Створюється запис реєстру,<br/>замаскований під OneDrive.”] class pe_registry_run persistence %% Вузли обходу захисту ev_api_hashing[“<b>Дія</b> – <b>T1027.007 Obfuscated Files or Information: Dynamic API Resolution</b><br/>Бекдор BurrowShell визначає<br/>Windows API за допомогою хешування.”] class ev_api_hashing evasion ev_rc4_encryption[“<b>Дія</b> – <b>T1027.013 Obfuscated Files or Information: Encrypted/Encoded File</b><br/>Shellcode приховується як<br/>RC4-зашифрований blob.”] class ev_rc4_encryption evasion ev_masquerading[“<b>Дія</b> – <b>T1036.005 Masquerading: Match Legitimate Name or Location</b><br/>Файли перейменовуються на<br/>system32.dll або mscorsvc.dll.”] class ev_masquerading evasion ev_dll_hijack[“<b>Дія</b> – <b>T1574.001 Hijack Execution Flow: DLL Search Order Hijacking</b><br/>Перехоплення порядку пошуку DLL через<br/>легітимні бінарні файли, такі як NGenTask.exe.”] class ev_dll_hijack evasion %% Вузол доступу до облікових даних ca_keylogger[“<b>Дія</b> – <b>T1056 Input Capture: Keylogging</b><br/>Кейлогер на Rust збирає<br/>натискання клавіш і Google OAuth-токени.”] class ca_keylogger credential_access %% Вузол виявлення інформації di_sys_info[“<b>Дія</b> – <b>T1082 System Information Discovery</b><br/>BurrowShell збирає системну інформацію,<br/>включаючи ім’я комп’ютера та користувача.”] class di_sys_info discovery %% Вузол збору даних co_archive_data[“<b>Дія</b> – <b>T1560 Archive Collected Data</b><br/>Вебдрайвери на Python переглядають<br/>та завантажують вкладення електронної пошти.”] class co_archive_data collection %% Вузол командування та керування cc_web_protocols[“<b>Дія</b> – <b>T1071.001 Application Layer Protocol: Web Protocols</b><br/>HTTPS-зв’язок із C2-інфраструктурою,<br/>розміщеною на Cloudflare Workers.”] class cc_web_protocols command_control %% Вузол ексфільтрації ex_c2_channel[“<b>Дія</b> – <b>T1041 Exfiltration Over C2 Channel</b><br/>Передача зібраних даних, файлів<br/>та знімків екрана зловмисникам.”] class ex_c2_channel exfiltration %% З’єднання потоку атаки ia_spearphish_attach –>|призводить_до| ex_vba_interpreter ia_spearphish_link –>|призводить_до| ex_vba_interpreter ex_vba_interpreter –>|створює| pe_registry_run ex_vba_interpreter –>|використовує| ev_api_hashing ex_vba_interpreter –>|використовує| ev_rc4_encryption ex_vba_interpreter –>|використовує| ev_masquerading ex_vba_interpreter –>|використовує| ev_dll_hijack ex_vba_interpreter –>|розгортає| ca_keylogger ca_keylogger –>|запускає| di_sys_info di_sys_info –>|передує| co_archive_data co_archive_data –>|спілкується_через| cc_web_protocols cc_web_protocols –>|забезпечує| ex_c2_channel

Потік атаки

Виконання симуляції

Передумова: Перевірка Телеметрії та попередня перевірка бази повинні пройти.

Аргументація: Цей розділ описує точне виконання техніки супротивника (TTP), розроблене для спрацьовування правила виявлення. Команди і наратив, ОБОВ’ЯЗКОВО, повинні безпосередньо відображати ідентифіковані TTP і прагнути згенерувати точну телеметрію, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.

  • Наратив атаки та команди: Супротивник прагне підтримувати стійкість і здійснювати виконання коду непомітно. Вони намагаються перехопити потік процесу, передаючи mscorsvc.dll mscorsvc.dll як аргумент, що є відомою технікою SloppyLemming. Щоб ще більше ускладнити виявлення, вони також можуть спробувати замаскувати свою присутність, називаючи вторинний шкідливий процес OneDrive.exe в командному рядку. Мета полягає в тому, щоб спричинити спрацьовування правила виявлення, співставивши конкретну комбінацію потік процесу, передаючи і підозрілого DLL або підмінного імені.

  • Скрипт регресійного тесту:

    # Скрипт симуляції: Емуляція TTP SloppyLemming
# Сценарій 1: Перехоплення audiodg.exe з mscorsvc.dll
Write-Host "[+] Симуляція перехоплення audiodg.exe з mscorsvc.dll..."
Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden

# Сценарій 2: Маскування через OneDrive.exe в командному рядку
Write-Host "[+] Симуляція виконання audiodg.exe з маскуванням OneDrive.exe..."
Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden

  • Команди очищення:

    # Очистка: Постійних артефактів не створюється командою cmd /c, 
# але ми забезпечуємо відсутність залишкових підозрілих процесів.
Stop-Process -Name "cmd" -ErrorAction SilentlyContinue

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно