SOC Prime Bias: Kritisch

21 Jan 2026 16:10 UTC

Operation Verdeckter Zugriff: Waffengestützte LNK-basierte Spear-Phishing-Angriffe auf Argentiniens Justizsektor zur Verbreitung eines versteckten RAT

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Operation Verdeckter Zugriff: Waffengestützte LNK-basierte Spear-Phishing-Angriffe auf Argentiniens Justizsektor zur Verbreitung eines versteckten RAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Seqrite identifizierte eine Spear-Phishing-Operation, die eine bewaffnete LNK-Verknüpfung bereitstellt, gepaart mit einem bösartigen BAT-Loader. Nach der Ausführung lädt der Loader einen Rust-basierten Remote-Access-Trojaner aus einem GitHub-Repository herunter, führt Anti-Analyse-Prüfungen durch und etabliert einen widerstandsfähigen Kommando-und-Kontroll-Kanal. Die Aktivität wird als Angriff auf Argentiniens Justizorganisationen und angrenzende Regierungseinheiten bewertet. Um die Wahrscheinlichkeit einer Ausführung zu erhöhen, fügen die Angreifer legitime aussehende PDF-Köderinhalte in das Lieferpaket ein.

Untersuchung

Analysten untersuchten das ZIP-Archiv, das die LNK-, BAT- und PDF-Dateien enthält, und rekonstruierten dann die PowerShell-Befehlssequenz, die den BAT-Loader auslöste. Sie profilierten die Funktionalität des RAT, einschließlich Anti-VM/Anti-Sandbox-Prüfungen, Host-Erkennung und System-Fingerprinting, Einrichtung von Persistenz und verschlüsselter Aufgabenübertragung über C2. Die beobachteten Verhaltensweisen wurden relevanten MITRE ATT&CK-Techniken zugeordnet, mit bemerkenswerten Mustern wie Maskerade, PowerShell-Ausführungsrichtlinien-Umgehung und sekundärer/Backup-C2-Logik, um die Konnektivität aufrechtzuerhalten, falls die primären Kanäle ausfallen.

Minderung

Wenden Sie strikte Durchführungsrichtlinien für Verknüpfungen (LNK) an, insbesondere von benutzerbeschreibbaren Standorten und komprimierten Archiven, und erzwingen Sie gehärtete PowerShell-Ausführungsrichtlinien mit zentralisiertem Logging. Beschränken oder routen Sie den ausgehenden Zugriff auf nicht autorisierte GitHub-Repositories und alarmieren Sie bei verdächtigen Download- und Ausführungsmustern aus Skript-Interpretern. Überwachen Sie die Persistenz über Run-Registrierungswerte oder geplante Aufgaben mit anomalen oder neu beobachteten Namen. Wo möglich, implementieren Sie Erkennungen, die häufige Anti-Analyse-Verhaltensweisen aufdecken, und stellen Sie sicher, dass Benutzer, die mit PDFs umgehen, mit den geringsten Rechten arbeiten, um den Explosionsradius einer erfolgreichen Ausführung zu reduzieren.

Antwort

Lösen Sie Alarme aus, wenn die bewaffnete LNK erstellt oder ausgeführt wird, und wenn die zugehörige PowerShell-Aufrufkette beobachtet wird. Suchen Sie proaktiv nach dem heruntergeladenen msedge_proxy.exe-Artefakt und allen zugehörigen Persistenzeinträgen im Registry oder Aufgabenplaner. Isolieren Sie betroffene Endpunkte, beenden Sie den bösartigen Prozessbaum und entfernen Sie alle erstellten geplanten Aufgaben und Run-Schlüssel-Werte. Führen Sie eine vollständige forensische Überprüfung durch, um den Umfang zu validieren, zu bestätigen, ob Daten gestaffelt oder exfiltriert wurden, und zusätzliche Hosts zu identifizieren, die dem gleichen ZIP/LNK-Liefermuster ausgesetzt sind.

Angriffsfluss

Simulation Ausführung

Voraussetzung: Der Telemetrie- & Basislinien-Pre-Flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffs-Narrativ & Befehle:

    1. Erstkompromiss: Der Angreifer sendet eine Spear-Phishing-E-Mail mit einem bewaffneten .lnk Verknüpfung, die auf einen justiziellen Mitarbeiter abzielt. Die Verknüpfung verweist auf einen PowerShell-Befehl, der mit -ExecutionPolicy Bypass und einem versteckten Fenster ausgeführt wird, um Verdacht zu vermeiden.

    2. Ausführungsablauf: Wenn der Benutzer auf die Verknüpfung klickt, führt Windows den folgenden Befehl aus, der health-check.batstartet. Die Batch-Datei enthält die eigentliche bösartige Nutzlast (z.B. einen PowerShell-Downloader, der einen RAT abruft).

       powershell.exe -ep bypass -w hidden -f health-check.bat
    3. Nutzdatenbereitstellung: health-check.bat führt einen leisen HTTP GET zu einem bösartigen C2 aus, schreibt die Nutzlast in %TEMP%, und führt sie aus.

  • Regressionstest-Skript: Das untenstehende Skript reproduziert die genaue Telemetrie durch Erstellen von health-check.bat mit harmlosen Inhalten (um den Test sicher zu halten) und dann Ausführung des PowerShell-Befehls.

    # -------------------------------------------------
    # Simulationsskript – Bewaffnete LNK PowerShell Ausführung
    # -------------------------------------------------
    # 1. Erstellen Sie eine Dummy health-check.bat (harmlos für Tests)
    $batPath = "$env:TEMPhealth-check.bat"
    Set-Content -Path $batPath -Value '@echo off & echo Simulated payload executed' -Encoding ASCII
    
    # 2. Führen Sie PowerShell mit den genauen Flags und Skriptnamen aus
    $psCommand = "powershell.exe -ep bypass -w hidden -f `"$batPath`""
    Write-Host "Executing: $psCommand"
    Start-Process -FilePath "powershell.exe" -ArgumentList "-ep", "bypass", "-w", "hidden", "-f", $batPath -NoNewWindow
    
    # 3. Warten Sie einige Sekunden, um sicherzustellen, dass Protokolle generiert werden
    Start-Sleep -Seconds 5
    # -------------------------------------------------
  • Bereinigungskommandos: Entfernen Sie die Test-Batch-Datei und alle verbleibenden Prozesse.

    # Bereinigen Sie die Dummy health-check.bat
    Remove-Item -Path "$env:TEMPhealth-check.bat" -ErrorAction SilentlyContinue
    
    # Stellen Sie sicher, dass keine verbleibenden PowerShell-Instanzen vom Test übrig bleiben
    Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Stop-Process -Force