AsyncRAT über KI-Themen-Kampagnen verbreitet
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Bedrohungsakteure nutzen KI-orientierte Köder, um eine mehrstufige Malware-Infektionskette zu verbreiten. Der Angriff kombiniert gestufte Skripte, auf AutoHotkey basierende Loader und Process Hollowing, um sowohl einen .NET-Remote-Access-Trojaner als auch AsyncRAT bereitzustellen. Ein bemerkenswertes Merkmal der Kampagne ist die scheinbare Nutzung von KI-gestützter Entwicklung, die sich in vereinfachten chinesischen Variablennamen und in der gesamten Malware eingebetteten Code-Kommentaren widerspiegelt.
Untersuchung
FortiGuard Labs untersuchte eine komplexe Einbruchssequenz, die mit einem bösartigen ZIP-Archiv begann, das eine LNK-Datei enthielt. Ihre Analyse deckte mehrere Stufen der Nutzlast-Extraktion aus einem PDF-basierten Container auf, gefolgt von AutoHotkey-gesteuerter reflektiver Injektion und der endgültigen Bereitstellung eines modularen .NET RAT zusammen mit AsyncRAT. Die Forscher dokumentierten auch unterschiedliche Verschleierungsmethoden, einschließlich semantischer Abstraktion in chinesischer Sprache und eigens entwickelter Entschlüsselungslogik, um das Verhalten der Malware zu verbergen.
Minderung
Benutzer sollten besonders vorsichtig mit LNK-Dateien, komprimierten Archiven und Dokumenten umgehen, die von nicht vertrauenswürdigen oder unerwarteten Quellen stammen. Organisationen sollten Startobjekte, geplante Aufgaben und Registrierungsorte auf unautorisierte Änderungen überprüfen. Das Überwachen von verdächtigen PowerShell-Aktivitäten und ungewöhnlichen ausgehenden Netzwerkverbindungen ist ebenfalls essenziell, um frühe Kompromittierungsstadien zu identifizieren.
Antwort
Wenn diese Aktivität erkannt wird, sollten die Responder eine forensische Überprüfung der %LOCALAPPDATA% and %APPDATA% -Verzeichnisse durchführen, um abgelegte Skripte und verwandte Artefakte zu identifizieren. Der Aufgabenplaner sollte auf verdächtige Aufgaben wie CheckRealtekAudioVersion or ResetRealtekAudioSettings64überprüft werden. Betroffene Systeme sollten sofort isoliert werden, um eine weitere Kommunikation mit den identifizierten bösartigen Domains und IP-Adressen zu verhindern.
Angriffsverlauf
Erkennungen
Möglichkeit der Ausführung durch versteckte PowerShell-Befehlszeilen (über cmdline)
Anzeigen
Möglicher Versuch der Ausführung eines AutoHotkey-Skripts (über cmdline)
Anzeigen
LOLBAS WScript / CScript (über Prozess-Erstellung)
Anzeigen
Verdächtige PowerShell-Strings (über powershell)
Anzeigen
Aufruf verdächtiger .NET-Methoden von PowerShell (über powershell)
Anzeigen
Mögliche PowerShell-Verschleierungsindikatoren (über powershell)
Anzeigen
IOCs (HashSha256) zur Erkennung: Bedrohungsakteure nutzen KI-Hype, um AsyncRAT bereitzustellen
Anzeigen
IOCs (SourceIP) zur Erkennung: Bedrohungsakteure nutzen KI-Hype, um AsyncRAT bereitzustellen
Anzeigen
IOCs (DestinationIP) zur Erkennung: Bedrohungsakteure nutzen KI-Hype, um AsyncRAT bereitzustellen
Anzeigen
AsyncRAT Command-and-Control unter Verwendung von RijndaelManaged-Verschlüsselung [Windows Sysmon]
Anzeigen
Erkennung der Kommunikation mit AsyncRAT C2-Domänen [Windows-Netzwerkverbindung]
Anzeigen
Verdächtige PowerShell-Ausführung mit versteckten Fenstern und Sicherheitsumgehung [Windows PowerShell]
Anzeigen
Erkennen von Process Hollowing mittels verdächtiger Prozess-Erstellung [Windows Prozess-Erstellung]
Anzeigen
Simulation Ausführung
Voraussetzung: Die Telemetrie- und Basislinien-Vorflugprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und sollen die exakte Telemetrie erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffs-Narrativ & Befehle: Ein Angreifer hat anfänglichen Zugriff erhalten und bereitet sich darauf vor, einen persistenten Command-and-Control (C2)-Kanal mit AsyncRAT zu etablieren. Um Netzwerkbasierte Signaturerkennung zu umgehen, verwendet der Angreifer die
RijndaelManaged.NET-Klasse, um den Verkehr zu verschlüsseln. Der Angreifer führt eine PowerShell-Einzeiler aus, die den Verschlüsseler instanziiert, mit der Absicht, den C2-Herzschlag in eine verschlüsselte Nutzlast zu packen. Dieser Befehl soll die spezifischen string-basierten Erkennungsregel auslösen. -
Regressionstest-Skript:
# Simulation der AsyncRAT-ähnlichen Verschlüsselungsinstanziierung in PowerShell # Dieser Befehl ist darauf ausgelegt, den 'RijndaelManaged.CreateEncryptor'-String in der Befehlszeile zu treffen. $code = "[System.Security.Cryptography.RijndaelManaged]::CreateEncryptor()" powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "$encryptor = [System.Security.Cryptography.RijndaelManaged]::CreateEncryptor(); Write-Output 'Verschlüsselungsmaschine initialisiert.'" -
Säuberungsbefehle:
# Es wurden keine dauerhaften Änderungen durch das Simulationsskript vorgenommen; jedoch, # wird die PowerShell-Verlauf gelöscht, um Spuren des Befehls zu entfernen. Clear-History Remove-Item (Get-PSReadlineOption).HistorySavePath -ErrorAction SilentlyContinue