Folgen ![[Op-Bericht] Von SSA Phish zu AdaptixC2: Eine Multi-RAT-Eindringung](https://socprime.com/wp-content/uploads/Image_bg.png)
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein Bedrohungsakteur führte einen mehrschichtigen Commodity-Angriff durch, der mit einer Phishing-E-Mail begann, die auf die US-amerikanische Sozialversicherungsbehörde ausgerichtet war. Die Operation stützte sich auf AdaptixC2 als Haupt-Command-and-Control-Framework, verwendete XWorm als sekundären Zugangskanal und für Telegram-basierte Exfiltration und setzte ScreenConnect ein, um direkte Tastatureingaben zu unterstützen. Die Kampagne zeigte auch eine starke operationale Disziplin durch den Einsatz von RTLO-Dateinamen-Täuschung und mehreren Persistenzwegen, die darauf ausgelegt waren, eine teilweise Behebung zu überstehen.
Untersuchung
Die Untersuchung fand in einer Deception.Pro-Umgebung unter Verwendung einer Täuschungsarbeitsstation statt. Da die TLS-Inspektion aktiviert war, konnten die Forscher Klartext-Beacon-Verkehr, Payload-Download-URLs und ScreenConnect-Relay-Handshakes wiederherstellen. Diese Sichtbarkeit ermöglichte es, den Eindringling bestimmten Frameworks mit hoher Zuverlässigkeit zuzuordnen, anstatt sich nur auf Verhaltens- oder Fingerabdruckannahmen zu verlassen.
Minderung
Organisationen sollten das Risiko verringern, indem sie die TLS-Inspektion für verschlüsselten Command-and-Control-Verkehr aktivieren und ein EDR implementieren, das in der Lage ist, certutil-basiertes Staging und verdächtige PowerShell-Ausführungen zu erkennen. Die Sichtbarkeit der Dateierweiterung sollte durchgesetzt werden, um RTLO-basierte Dateinamen-Tricks zu schwächen. Zudem sollten Registry-Run-Key-Schreibvorgänge an öffentlichen oder benutzerbeschreibbaren Orten genau überwacht werden. Teams sollten auch unautorisierte Fernverwaltungstools wie ScreenConnect inventarisieren und alarmieren, insbesondere wenn sie über msiexec.
Antwort
Wird diese Aktivität erkannt, sollten betroffene Endpunkte sofort isoliert werden, um den Command-and-Control-Verkehr zu unterbrechen und weitere laterale Bewegungen durch SAMR- oder LSAD-Auflistungen zu verhindern. Führen Sie einen vollständigen forensischen Sweep nach XWorm-DLLs und AdaptixC2-Artefakten in öffentlichen Ordnern und anderen üblichen Staging-Pfaden durch. Ermittler sollten auch Telegram-bezogene Exfiltrationsmuster überprüfen und Registry-Persistenzschlüssel prüfen, die legitime Updater-Namen nachahmen.
graph TB %% Abschnitt: Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef discovery fill:#ccffcc %% Knotendefinitionen %% Initialer Zugriff und Ausführung action_phishing[„<b>Aktion</b> – <b>T1566.002 Phishing: Spearphishing-Link</b><br/>Das Opfer erhält eine gefälschte E-Mail, die angeblich von der SSA stammt,<br/>und einen Link zu einem RAR-Archiv enthält.“] class action_phishing action action_masquerade[„<b>Aktion</b> – <b>T1036.008 Tarnung: Dateityp vortäuschen</b><br/>Der Angreifer verwendet den RTLO-Trick, um eine PE32-Datei<br/>als PDF-Datei (.fdp.exe) zu tarnen.“] class action_masquerade action action_user_exec[„<b>Aktion</b> – <b>T1204.002 Benutzerausführung: Schadartige Datei</b><br/>Der Benutzer interagiert mit der<br/>getarnten Schaddatei.“] class action_user_exec action %% Werkzeugübertragung und Persistenz tool_certutil[„<b>Werkzeug</b> – <b>Name: certutil.exe</b><br/><b>Beschreibung:</b> In Windows integriertes Dienstprogramm zum<br/>Herunterladen der AdaptixC2-Nutzlast.“] class tool_certutil tool action_ingress[„<b>Aktion</b> – <b>T1105 Übertragung von Werkzeugen auf das Zielsystem</b><br/>Die Nutzlast wird von<br/>cloudpre-005[.]online heruntergeladen.“] class action_ingress action action_persistence[„<b>Aktion</b> – <b>T1547.001 Autostart bei Systemstart oder Anmeldung:<br/>Registry-Run-Schlüssel / Autostart-Ordner</b><br/>Erstellt Registrierungseinträge wie PayloadService,<br/>JavaUpdater und Updater in C:\Users\Public\.“] class action_persistence action %% C2 und Fernzugriff malware_adaptix[„<b>Schadsoftware</b> – <b>Name: AdaptixC2</b><br/><b>Beschreibung:</b> Beacon-Agent für<br/>Command-and-Control-Operationen (C2).“] class malware_adaptix malware action_c2_web[„<b>Aktion</b> – <b>T1071.001 Anwendungsprotokoll:<br/>Web-Protokolle</b><br/>AdaptixC2 kommuniziert per Beaconing<br/>mit bestimmten Web-URLs.“] class action_c2_web action tool_screenconnect[„<b>Werkzeug</b> – <b>Name: ScreenConnect</b><br/><b>Beschreibung:</b> Fernzugriffswerkzeug für die<br/>interaktive Steuerung.“] class tool_screenconnect tool action_remote_access[„<b>Aktion</b> – <b>T1219 Fernzugriffswerkzeuge</b><br/>Bereitstellung von zwei unabhängigen Clients,<br/>um interaktiven Zugriff aufrechtzuerhalten.“] class action_remote_access action %% Exfiltration und Aufklärung malware_xworm[„<b>Schadsoftware</b> – <b>Name: XWorm</b><br/><b>Beschreibung:</b> Schadsoftware, die zum Weiterleiten<br/>gestohlener Daten über Telegram verwendet wird.“] class malware_xworm malware action_exfil[„<b>Aktion</b> – <b>T1567 Exfiltration über Webdienst</b><br/>Daten werden mithilfe der<br/>Telegram-Bot-API exfiltriert.“] class action_exfil action action_discovery[„<b>Aktion</b> – <b>T1069.002 Erkennung von Berechtigungsgruppen:<br/>Domänengruppen</b><br/>Auflistung der Domänenumgebung über<br/>SAMR und LSAD RPC.“] class action_discovery discovery %% Verbindungen action_phishing –>|führt_zu| action_masquerade action_masquerade –>|führt_zu| action_user_exec action_user_exec –>|löst_aus| tool_certutil tool_certutil –>|führt_aus| action_ingress action_ingress –>|installiert| malware_adaptix malware_adaptix –>|etabliert| action_persistence malware_adaptix –>|verwendet| action_c2_web action_remote_access –>|nutzt| tool_screenconnect malware_adaptix –>|stellt_bereit| action_remote_access malware_adaptix –>|betreibt| malware_xworm malware_xworm –>|führt_aus| action_exfil malware_adaptix –>|führt_aus| action_discovery
Angriffsfluss
Erkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Anzeigen
Verwendung von Certutil für die Datenkodierung und Zertifikatoperationen (über cmdline)
Anzeigen
Verdächtige Ausführung aus öffentlichem Benutzerprofil (über process_creation)
Anzeigen
Alternativzugriff / Verwaltungssoftware (über process_creation)
Anzeigen
Ein Archiv wurde an ein verdächtiges Verzeichnis mit PowerShell extrahiert (über powershell)
Anzeigen
Verdächtige Dateien in öffentlichem Benutzerprofil (über file_event)
Anzeigen
Mögliche IP-Lookup-Domänenkommunikationsversuche (über dns)
Anzeigen
Möglicher Kontakt mit Dynamic DNS Service (über dns)
Anzeigen
IOCs (HashSha256) zur Erkennung: [Op Report] Von SSA Phish zu AdaptixC2: Ein Multi-RAT-Einbruch
Anzeigen
IOCs (HashMd5) zur Erkennung: [Op Report] Von SSA Phish zu AdaptixC2: Ein Multi-RAT-Einbruch
Anzeigen
IOCs (SourceIP) zur Erkennung: [Op Report] Von SSA Phish zu AdaptixC2: Ein Multi-RAT-Einbruch
Anzeigen
IOCs (DestinationIP) zur Erkennung: [Op Report] Von SSA Phish zu AdaptixC2: Ein Multi-RAT-Einbruch
Anzeigen
Erkennung der AdaptixC2 Command-and-Control-Kommunikation [Windows-Netzwerkverbindung]
Anzeigen
Erkennung der AdaptixC2- und ScreenConnect-Bereitstellung über Certutil und Msiexec [Windows-Prozesserstellung]
Anzeigen
Simulation Ausführung
Voraussetzung: Die Telemetrie- & Baseline-Vorprüfungen müssen bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifer-Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, genau die Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle: Der Angreifer hat erfolgreich einen Zugangspunkt auf der Zielmaschine über einen Spearphishing-Link etabliert. Um die Kontrolle zu behalten und Anweisungen zu erhalten, versucht der AdaptixC2-Agent, sich bei seinem Command-and-Control-Server zu „melden“. Der Agent ist programmiert, eine festcodierte URI (
98.81.111.167/updates/check.php) oder eine Ersatz-IP (23.20.229.225) über Port 443 anzusteuern. Durch die Simulation dieser genau definierten Verbindungsversuche validieren wir, ob die Firewall-Netzwerkerkennungsregel diese bekannten bösartigen Muster korrekt identifiziert. -
Regressionstest-Skript: Dieses Skript verwendet PowerShell, um zwei unterschiedliche Verbindungsversuche zu simulieren: einen, der auf die spezifische URL und einen, der auf die spezifische IP-Adresse abzielt.
# Simulation der AdaptixC2-Kommunikation Write-Host "[+] Start der AdaptixC2-Simulation..." -ForegroundColor Cyan # Szenario 1: Verbindung zum spezifischen bösartigen URL-Muster Write-Host "[+] Verbindung zu bösartiger URL: 98.81.111.167/updates/check.php wird versucht" -ForegroundColor Yellow try { # Wir verwenden -ErrorAction SilentlyContinue, da die IP wahrscheinlich nicht aufgelöst oder geantwortet wird, # aber der Verbindungsversuch selbst wird die Telemetrie generieren. Invoke-WebRequest -Uri "http://98.81.111.167/updates/check.php" -Method Get -ErrorAction SilentlyContinue } catch { Write-Host "[!] Verbindung fehlgeschlagen (erwartet), aber Telemetrie sollte generiert worden sein." -ForegroundColor Gray } # Szenario 2: Verbindung zu der spezifischen bösartigen IP auf Port 443 Write-Host "[+] Verbindung zur bösartigen IP: 23.20.229.225 auf Port 443 wird versucht" -ForegroundColor Yellow try { $tcpClient = New-Object System.Net.Sockets.TcpClient $connection = $tcpClient.BeginConnect("23.20.229.225", 443, $null, $null) $success = $connection.AsyncWaitHandle.WaitOne(5000, $false) if ($success) { Write-Host "[+] Verbindung erfolgreich (unwahrscheinlich im realen Test)." -ForegroundColor Green } else { Write-Host "[!] Verbindung ausgelaufen (erwartet), aber Telemetrie sollte generiert worden sein." -ForegroundColor Gray } $tcpClient.Close() } catch { Write-Host "[!] Fehler beim TCP-Verbindungsversuch." -ForegroundColor Red } Write-Host "[+] Simulation abgeschlossen." -ForegroundColor Cyan -
Säuberungsbefehle:
# Keine permanenten Artefakte werden durch diese Simulation erstellt, da sie nur Netzwerkverkehr generiert. Write-Host "[+] Keine Bereinigung erforderlich. Netzwerkverbindungen waren vorübergehend." -ForegroundColor Green