SOC Prime Bias: Kritisch

16 Jun 2026 05:47 UTC

Analyse von SHEET#CREEP: Die Malware kehrt mit neuer Konfigurationsverschleierung zurück

Author Photo
SOC Prime Team linkedin icon Folgen
Analyse von SHEET#CREEP: Die Malware kehrt mit neuer Konfigurationsverschleierung zurück
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Eine aktive Spionageoperation, bekannt als SHEETCREEP, basiert auf einem C# Remote-Access-Trojaner, der die Google Sheets API für Kommando und Kontrolle nutzt. Die Angreifer liefern die Malware über ein diplomatisch thematisiertes ISO-Phishing-Lockmittel aus, woraufhin der RAT Persistenz etabliert und Befehle durch einen im Prozess laufenden PowerShell-Raum ausführt. Neuere Stichproben zeigen, dass die Betreiber die Malware durch Einführung von auf XOR-basierender Verschleierung für Konfigurationsdaten gestärkt haben.

Untersuchung

Das Securonix Threat Research-Team entdeckte die Kampagne, indem es eingebettete Google Cloud-Dienstkonto-Anmeldedaten aus der RAT-Binärdatei extrahierte. Nach der Authentifizierung im Live-Kommando-und-Kontroll-Tabellenblatt identifizierten die Forscher 91 aktive Opfer-Tabs, einschließlich Sandboxes, Forschungseinrichtungen und ein Opfer mit hoher Sicherheit in Pakistan. Ihre Analyse zeigte auch, dass der Schutz der Malware-Konfiguration durch einen aktualisierten Verschleierungsansatz weiterentwickelt wurde.

Minderung

Organisationen sollten das Öffnen nicht angeforderter Anhänge vermeiden, insbesondere ISO-Dateien, die LNK-Verknüpfungsdateien enthalten. Verteidiger sollten das %LOCALAPPDATA%MicrosoftVault Verzeichnis auf verdächtige ausführbare Dateien überwachen und geplante Aufgaben auf irreführende oder unerwartete Einträge überprüfen. Eine starke Endpunkt-Visibilität durch Tools wie Sysmon und AMSI kann auch helfen, im Prozess auftretende PowerShell-Aktivitäten aufzudecken, die mit dieser Malware verbunden sind.

Antwort

Bei ungewöhnlichem HTTPS-Verkehr zu Google API-Diensten aus Nicht-Browser-Prozessen sollte das betroffene System sofort isoliert werden. Sicherheitsteams sollten geplante Aufgaben auf unautorisierte Elemente wie WindowsVaultSyncServiceuntersuchen. Eine forensische Überprüfung von %LOCALAPPDATA%MicrosoftVault sollte ebenfalls durchgeführt werden, um verborgene oder dem System zugeordnete Binärdateien zu identifizieren, die mit dem Eindringen in Verbindung stehen.

Angriffsablauf

Simulationsausführung

Voraussetzung: Die Telemetrie- und Basiskennlinien-Vorprüfung muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Narrative MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genauen Telemetriedaten zu erzeugen, die durch die Erkennungslogik erwartet werden. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angreifergeschichte & Befehle: Der Gegner beabsichtigt, Persistenz zu etablieren und einen Remote-Access-Trojaner (RAT) mit der SHEETCREEP-Technik auszuführen. Zuerst simulieren sie die anfängliche Ausführung über eine bösartige LNK-Datei, die cmd.exe aufruft, um eine bestimmte verdächtige ausführbare Datei zu starten. Als Nächstes etablieren sie Persistenz, indem sie eine geplante Aufgabe mit dem Namen WindowsVaultSyncService mit einer täuschenden Beschreibung erstellen, um sich als Systemupdate zu tarnen. Schließlich platzieren sie die Nutzlast vaultsvc.exe in das C:UsersAppDataLocalMicrosoftVault Verzeichnis und führen sie aus, um den letzten Teil der Erkennungslogik auszulösen.

  • Regressionstest-Skript:

    # SHEETCREEP Simulationsskript
    # Hinweis: Dieses Skript muss mit administrativen Rechten ausgeführt werden, um geplante Aufgaben zu erstellen.
    
    $targetDir = "$env:LOCALAPPDATAMicrosoftVault"
    $payloadName = "vaultsvc.exe"
    $payloadPath = "$targetDir$payloadName"
    $taskName = "WindowsVaultSyncService"
    $taskDesc = "Windows Edge Core Update Task Machine Discord Update"
    
    Write-Host "[+] Beginn der SHEETCREEP-Simulation..." -ForegroundColor Cyan
    
    # 1. Simuliere Auswahl 1: CMD-Ausführung mit spezifischem Muster
    Write-Host "[+] Simuliere Auswahl 1: CMD-Befehlsmuster..." -ForegroundColor Yellow
    Start-Process cmd.exe -ArgumentList '/c start "" "Document_11052026-03578240540350-93.exe"' -WindowStyle Hidden
    
    # 2. Simuliere Auswahl 2: Geplante Aufgaben-Erstellung
    Write-Host "[+] Simuliere Auswahl 2: Geplante Aufgaben-Erstellung..." -ForegroundColor Yellow
    $action = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c echo Persistenz etabliert"
    $trigger = New-ScheduledTaskTrigger -AtLogOn
    Register-ScheduledTask -Action $action -Trigger $trigger -TaskName $taskName -Description $taskDesc -Force
    
    # 3. Simuliere Auswahl 3: Nutzlastplatzierung und -ausführung
    Write-Host "[+] Simuliere Auswahl 3: Nutzlastplatzierung und -ausführung..." -ForegroundColor Yellow
    if (!(Test-Path $targetDir)) {
        New-Item -Path $targetDir -ItemType Directory -Force | Out-Null
    }
    
    # Erstelle eine Dummy-Binärdatei, um den RAT zu imitieren
    New-Item -Path $payloadPath -ItemType File -Force | Out-Null
    
    # Führe die Dummy-Nutzlast aus
    Start-Process -FilePath $payloadPath -WindowStyle Hidden -ErrorAction SilentlyContinue
    
    Write-Host "[+] Simulationsbefehle gesendet. Überprüfen Sie SIEM auf Warnungen." -ForegroundColor Green
  • Bereinigungskommandos:

    # Bereinigungsskript für SHEETCREEP-Simulation
    $targetDir = "$env:LOCALAPPDATAMicrosoftVault"
    $payloadPath = "$targetDirvaultsvc.exe"
    $taskName = "WindowsVaultSyncService"
    
    Write-Host "[+] Bereinigung der Simulationsartefakte..." -ForegroundColor Cyan
    
    # Entfernen der geplanten Aufgabe
    Unregister-ScheduledTask -TaskName $taskName -Confirm:$false -ErrorAction SilentlyContinue
    
    # Entfernen von Nutzlast und Verzeichnis
    if (Test-Path $payloadPath) { Remove-Item $payloadPath -Force }
    if (Test-Path $targetDir) { Remove-Item $targetDir -Recurse -Force }
    
    Write-Host "[+] Bereinigung abgeschlossen." -ForegroundColor Green