SOC Prime Bias: Hoch

12 Jun 2026 06:27 UTC

AsyncRAT über KI-Themen-Kampagnen verbreitet

Author Photo
SOC Prime Team linkedin icon Folgen
AsyncRAT über KI-Themen-Kampagnen verbreitet
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Bedrohungsakteure nutzen KI-orientierte Köder, um eine mehrstufige Malware-Infektionskette zu verbreiten. Der Angriff kombiniert gestufte Skripte, auf AutoHotkey basierende Loader und Process Hollowing, um sowohl einen .NET-Remote-Access-Trojaner als auch AsyncRAT bereitzustellen. Ein bemerkenswertes Merkmal der Kampagne ist die scheinbare Nutzung von KI-gestützter Entwicklung, die sich in vereinfachten chinesischen Variablennamen und in der gesamten Malware eingebetteten Code-Kommentaren widerspiegelt.

Untersuchung

FortiGuard Labs untersuchte eine komplexe Einbruchssequenz, die mit einem bösartigen ZIP-Archiv begann, das eine LNK-Datei enthielt. Ihre Analyse deckte mehrere Stufen der Nutzlast-Extraktion aus einem PDF-basierten Container auf, gefolgt von AutoHotkey-gesteuerter reflektiver Injektion und der endgültigen Bereitstellung eines modularen .NET RAT zusammen mit AsyncRAT. Die Forscher dokumentierten auch unterschiedliche Verschleierungsmethoden, einschließlich semantischer Abstraktion in chinesischer Sprache und eigens entwickelter Entschlüsselungslogik, um das Verhalten der Malware zu verbergen.

Minderung

Benutzer sollten besonders vorsichtig mit LNK-Dateien, komprimierten Archiven und Dokumenten umgehen, die von nicht vertrauenswürdigen oder unerwarteten Quellen stammen. Organisationen sollten Startobjekte, geplante Aufgaben und Registrierungsorte auf unautorisierte Änderungen überprüfen. Das Überwachen von verdächtigen PowerShell-Aktivitäten und ungewöhnlichen ausgehenden Netzwerkverbindungen ist ebenfalls essenziell, um frühe Kompromittierungsstadien zu identifizieren.

Antwort

Wenn diese Aktivität erkannt wird, sollten die Responder eine forensische Überprüfung der %LOCALAPPDATA% and %APPDATA% -Verzeichnisse durchführen, um abgelegte Skripte und verwandte Artefakte zu identifizieren. Der Aufgabenplaner sollte auf verdächtige Aufgaben wie CheckRealtekAudioVersion or ResetRealtekAudioSettings64überprüft werden. Betroffene Systeme sollten sofort isoliert werden, um eine weitere Kommunikation mit den identifizierten bösartigen Domains und IP-Adressen zu verhindern.

Angriffsverlauf

Erkennungen

Möglichkeit der Ausführung durch versteckte PowerShell-Befehlszeilen (über cmdline)

SOC Prime Team
11. Jun 2026

Möglicher Versuch der Ausführung eines AutoHotkey-Skripts (über cmdline)

SOC Prime Team
11. Jun 2026

LOLBAS WScript / CScript (über Prozess-Erstellung)

SOC Prime Team
11. Jun 2026

Verdächtige PowerShell-Strings (über powershell)

SOC Prime Team
11. Jun 2026

Aufruf verdächtiger .NET-Methoden von PowerShell (über powershell)

SOC Prime Team
11. Jun 2026

Mögliche PowerShell-Verschleierungsindikatoren (über powershell)

SOC Prime Team
11. Jun 2026

IOCs (HashSha256) zur Erkennung: Bedrohungsakteure nutzen KI-Hype, um AsyncRAT bereitzustellen

SOC Prime AI-Regeln
11. Jun 2026

IOCs (SourceIP) zur Erkennung: Bedrohungsakteure nutzen KI-Hype, um AsyncRAT bereitzustellen

SOC Prime AI-Regeln
11. Jun 2026

IOCs (DestinationIP) zur Erkennung: Bedrohungsakteure nutzen KI-Hype, um AsyncRAT bereitzustellen

SOC Prime AI-Regeln
11. Jun 2026

AsyncRAT Command-and-Control unter Verwendung von RijndaelManaged-Verschlüsselung [Windows Sysmon]

SOC Prime AI-Regeln
11. Jun 2026

Erkennung der Kommunikation mit AsyncRAT C2-Domänen [Windows-Netzwerkverbindung]

SOC Prime AI-Regeln
11. Jun 2026

Verdächtige PowerShell-Ausführung mit versteckten Fenstern und Sicherheitsumgehung [Windows PowerShell]

SOC Prime AI-Regeln
11. Jun 2026

Erkennen von Process Hollowing mittels verdächtiger Prozess-Erstellung [Windows Prozess-Erstellung]

SOC Prime AI-Regeln
11. Jun 2026

Simulation Ausführung

Voraussetzung: Die Telemetrie- und Basislinien-Vorflugprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und sollen die exakte Telemetrie erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffs-Narrativ & Befehle: Ein Angreifer hat anfänglichen Zugriff erhalten und bereitet sich darauf vor, einen persistenten Command-and-Control (C2)-Kanal mit AsyncRAT zu etablieren. Um Netzwerkbasierte Signaturerkennung zu umgehen, verwendet der Angreifer die RijndaelManaged .NET-Klasse, um den Verkehr zu verschlüsseln. Der Angreifer führt eine PowerShell-Einzeiler aus, die den Verschlüsseler instanziiert, mit der Absicht, den C2-Herzschlag in eine verschlüsselte Nutzlast zu packen. Dieser Befehl soll die spezifischen string-basierten Erkennungsregel auslösen.

  • Regressionstest-Skript:

    # Simulation der AsyncRAT-ähnlichen Verschlüsselungsinstanziierung in PowerShell
    # Dieser Befehl ist darauf ausgelegt, den 'RijndaelManaged.CreateEncryptor'-String in der Befehlszeile zu treffen.
    $code = "[System.Security.Cryptography.RijndaelManaged]::CreateEncryptor()"
    powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "$encryptor = [System.Security.Cryptography.RijndaelManaged]::CreateEncryptor(); Write-Output 'Verschlüsselungsmaschine initialisiert.'"
  • Säuberungsbefehle:

    # Es wurden keine dauerhaften Änderungen durch das Simulationsskript vorgenommen; jedoch,
    # wird die PowerShell-Verlauf gelöscht, um Spuren des Befehls zu entfernen.
    Clear-History
    Remove-Item (Get-PSReadlineOption).HistorySavePath -ErrorAction SilentlyContinue