AsyncRAT über KI-Themen-Kampagnen verbreitet

SOC Prime Team

Folgen

AsyncRAT über KI-Themen-Kampagnen verbreitet

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Bedrohungsakteure nutzen KI-orientierte Köder, um eine mehrstufige Malware-Infektionskette zu verbreiten. Der Angriff kombiniert gestufte Skripte, auf AutoHotkey basierende Loader und Process Hollowing, um sowohl einen .NET-Remote-Access-Trojaner als auch AsyncRAT bereitzustellen. Ein bemerkenswertes Merkmal der Kampagne ist die scheinbare Nutzung von KI-gestützter Entwicklung, die sich in vereinfachten chinesischen Variablennamen und in der gesamten Malware eingebetteten Code-Kommentaren widerspiegelt.

Untersuchung

FortiGuard Labs untersuchte eine komplexe Einbruchssequenz, die mit einem bösartigen ZIP-Archiv begann, das eine LNK-Datei enthielt. Ihre Analyse deckte mehrere Stufen der Nutzlast-Extraktion aus einem PDF-basierten Container auf, gefolgt von AutoHotkey-gesteuerter reflektiver Injektion und der endgültigen Bereitstellung eines modularen .NET RAT zusammen mit AsyncRAT. Die Forscher dokumentierten auch unterschiedliche Verschleierungsmethoden, einschließlich semantischer Abstraktion in chinesischer Sprache und eigens entwickelter Entschlüsselungslogik, um das Verhalten der Malware zu verbergen.

Minderung

Benutzer sollten besonders vorsichtig mit LNK-Dateien, komprimierten Archiven und Dokumenten umgehen, die von nicht vertrauenswürdigen oder unerwarteten Quellen stammen. Organisationen sollten Startobjekte, geplante Aufgaben und Registrierungsorte auf unautorisierte Änderungen überprüfen. Das Überwachen von verdächtigen PowerShell-Aktivitäten und ungewöhnlichen ausgehenden Netzwerkverbindungen ist ebenfalls essenziell, um frühe Kompromittierungsstadien zu identifizieren.

Antwort

Wenn diese Aktivität erkannt wird, sollten die Responder eine forensische Überprüfung der %LOCALAPPDATA% and %APPDATA% -Verzeichnisse durchführen, um abgelegte Skripte und verwandte Artefakte zu identifizieren. Der Aufgabenplaner sollte auf verdächtige Aufgaben wie CheckRealtekAudioVersion or ResetRealtekAudioSettings64überprüft werden. Betroffene Systeme sollten sofort isoliert werden, um eine weitere Kommunikation mit den identifizierten bösartigen Domains und IP-Adressen zu verhindern.

"graph TB %% Klassen-Definitionsabschnitt classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef technique fill:#ffff99 %% Knoten-Definitionen %% Anfangsphase action_user_exec["Aktion – T1204.002 Benutzerausführung: Bösartige Datei Benutzer öffnet ein komprimiertes Archiv, das eine bösartige .lnk-Verknüpfung enthält, die als KI-Leitfaden getarnt ist."] class action_user_exec action action_obfuscation["Aktion – T1027 Verschleierte Dateien oder Informationen Die .lnk-Datei verwendet cmd.exe, um eine verschleierte Befehlssequenz auszuführen, um Daten aus einer versteckten PDF-Datei namens 3th.pdf zu extrahieren."] class action_obfuscation technique %% Gestufte Ausführung action_ps_decryption["Aktion – T1027.013 Verschleierte Dateien oder Informationen: Verschlüsselte/Codierte Datei Ein PowerShell-Skript führt AES-CBC-Entschlüsselung und Base64-Decodierung durch, um eine Nutzlast aufzudecken, die als Cache_{GUID}.ps1 gespeichert ist."] class action_ps_decryption technique %% Beharrlichkeit und Umgehung action_persistence["Aktion – T1547 Beharrlichkeit Das Skript erstellt eine geplante Aufgabe namens CheckRealtekAudioVersion, um das Überleben zu sichern."] class action_persistence technique action_exclusion["Aktion – T1679 Selektive Ausschluss Die Malware verwendet Add-MpPreference, um das Laufwerk C und powershell.exe zur Ausschlussliste des Microsoft Defenders hinzuzufügen."] class action_exclusion technique %% Proxying und Skripterstellung action_cmd_shell["Aktion – T1059.003 Befehl- und Skript-Interpreter: Windows-Befehlshell Verwendet die Windows-Befehlshell zur Ausführung."] class action_cmd_shell technique action_syncappv["Aktion – T1216.002 Systemskript-Proxy-Ausführung: SyncAppvPublishingServer Verwendet eine VBS-Datei ResetRealtekAudioSettings64.vbs als Vermittler zum Starten von Batch-Dateien."] class action_syncappv technique %% AutoHotkey-Stufe tool_autohotkey["Tool: AutoHotkey.exe Benigne Binärdatei, verwendet zum Ausführen von bösartigen .ahk-Skripten für komplexe Logik."] class tool_autohotkey tool action_ahk_interpreter["Aktion – T1059.010 Befehl- und Skript-Interpreter: AutoHotKey & AutoIT Die .ahk-Skripte verwalten Prozessinjektion und Orchestrierung."] class action_ahk_interpreter technique %% Injektion und Nutzlast action_hollowing["Aktion – T1055.012 Prozessinjektion: Process Hollowing Rekonstruiert eine PE-Nutzlast aus Textdaten und injiziert sie in legitime .NET-Prozesse."] class action_hollowing technique process_dotnet["Prozess: .NET-Prozess Gezielter legitimer Prozess wie AddInProcess32.exe zur Injektion."] class process_dotnet process malware_asyncrat["Malware: AsyncRAT Ein modularer .NET-Remote-Access-Trojaner als endgültige Nutzlast bereitgestellt."] class malware_asyncrat malware action_exfiltration["Aktion – T1048 Exfiltration über alternatives Protokoll Exfiltriert Systeminformationen und führt Überwachung über C2-Domains wie shampobiskworld.nl durch."] class action_exfiltration technique %% Verbindungen %% Anfangskette action_user_exec –>|führt_zu| action_obfuscation action_obfuscation –>|löst_aus| action_ps_decryption %% Beharrlichkeit- und Umgehungskette action_ps_decryption –>|etabliert| action_persistence action_ps_decryption –>|führt_aus| action_exclusion %% Skripting- und Proxying-Kette action_ps_decryption –>|nutzt| action_cmd_shell action_cmd_shell –>|verwendet| action_syncappv %% AutoHotkey-Kette action_syncappv –>|führt_aus| tool_autohotkey tool_autohotkey –>|verwendet| action_ahk_interpreter %% Injektionskette action_ahk_interpreter –>|führt_aus| action_hollowing action_hollowing –>|injiziert_in| process_dotnet %% Endgültige Nutzlastkette process_dotnet –>|hostet| malware_asyncrat malware_asyncrat –>|führt_aus| action_exfiltration "

Angriffsverlauf

Angriffs-Narrativ & Befehle: Ein Angreifer hat anfänglichen Zugriff erhalten und bereitet sich darauf vor, einen persistenten Command-and-Control (C2)-Kanal mit AsyncRAT zu etablieren. Um Netzwerkbasierte Signaturerkennung zu umgehen, verwendet der Angreifer die RijndaelManaged .NET-Klasse, um den Verkehr zu verschlüsseln. Der Angreifer führt eine PowerShell-Einzeiler aus, die den Verschlüsseler instanziiert, mit der Absicht, den C2-Herzschlag in eine verschlüsselte Nutzlast zu packen. Dieser Befehl soll die spezifischen string-basierten Erkennungsregel auslösen.

Regressionstest-Skript:

# Simulation der AsyncRAT-ähnlichen Verschlüsselungsinstanziierung in PowerShell
# Dieser Befehl ist darauf ausgelegt, den 'RijndaelManaged.CreateEncryptor'-String in der Befehlszeile zu treffen.
$code = "[System.Security.Cryptography.RijndaelManaged]::CreateEncryptor()"
powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "$encryptor = [System.Security.Cryptography.RijndaelManaged]::CreateEncryptor(); Write-Output 'Verschlüsselungsmaschine initialisiert.'"

Säuberungsbefehle:

# Es wurden keine dauerhaften Änderungen durch das Simulationsskript vorgenommen; jedoch,
# wird die PowerShell-Verlauf gelöscht, um Spuren des Befehls zu entfernen.
Clear-History
Remove-Item (Get-PSReadlineOption).HistorySavePath -ErrorAction SilentlyContinue

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten