Operation Poseidon: Spear-Phishing-Angriffe unter Ausnutzung der Google Ads-Umleitungsmechanismen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Operation Poseidon ist eine Spear-Phishing-Kampagne, die der Konni APT zugeschrieben wird und Google- und Naver-Anzeigenklick-Tracking/Weiterleitung-URLs nutzt, um bösartige LNK-Verknüpfungsdateien zu verbreiten. Beim Öffnen löst die LNK eine AutoIt-Ladung aus, die EndRAT vorwiegend im Speicher ausführt. Die Operation stützt sich auf kompromittierte WordPress-Seiten für die Bereitstellung von Payloads und Command-and-Control (C2)-Diensten.
Untersuchung
Das Genians Security Center prüfte die Phishing-E-Mail-Köder, eingebettete Tracking-Beacons und den End-to-End-Ausführungsablauf – vom LNK-Shortcut-Start bis zur AutoIt-Staging-Logik und der In-Memory-EndRAT-Bereitstellung. Analysten stellten auch die Wiederverwendung von Infrastruktur- und Entwicklungsartefakten fest, darunter die Domain jlrandsons.co.uk und der Build-Pfad D:3_Attack WeaponAutoitBuild__Poseidon – Attackclient3.3.14.a3x.
Minderung
Verhindern Sie die Ausführung von LNK-Dateien, die in ZIP-Archiven geliefert werden, und überprüfen Sie Redirect-Ketten von Anzeigenklicks, die von Google/Naver-Tracking-Domains ausgehen. Erzwingen Sie eine strikte EDR-Abdeckung für AutoIt-Aktivitäten und verdächtiges Prozessspawning (insbesondere abnormale PowerShell- oder cmd.exe-Starts). Verringern Sie den Missbrauch der Infrastruktur, indem Sie WordPress-Instanzen absichern und regelmäßig aktualisieren, um deren Verwendung als Malware-Verteilungspunkte zu begrenzen.
Antwort
Alarmieren Sie über anfängliche LNK-Ausführungsereignisse, kennzeichnen Sie AutoIt.exe-Ausführungen, die durch Benutzerinteraktionen initiiert werden, und überwachen Sie ausgehende Verbindungen zu den identifizierten C2-Domains und IPs. Quarantänisieren Sie verdächtige Endpunkte und sammeln Sie forensische Artefakte, einschließlich des AutoIt-Skripts, LNK-Metadaten und aller wiedergefundenen EndRAT-Komponenten, um die Eingrenzung und Beseitigung zu unterstützen.
Angriffsfluss
Erkennungen
Mögliche bösartige LNK-Datei mit doppelter Erweiterung (via cmdline)
Ansehen
AutoIT-Binary wurde von einem ungewöhnlichen Ort ausgeführt (via process_creation)
Ansehen
IOCs (DestinationIP) zu erkennen: Operation Poseidon: Spear-Phishing-Angriffe, die Google Ads-Umleitungsmechanismen missbrauchen
Ansehen
IOCs (Emails) zu erkennen: Operation Poseidon: Spear-Phishing-Angriffe, die Google Ads-Umleitungsmechanismen missbrauchen
Ansehen
IOCs (SourceIP) zu erkennen: Operation Poseidon: Spear-Phishing-Angriffe, die Google Ads-Umleitungsmechanismen missbrauchen
Ansehen
IOCs (HashMd5) zu erkennen: Operation Poseidon: Spear-Phishing-Angriffe, die Google Ads-Umleitungsmechanismen missbrauchen
Ansehen
Anomale externe Verbindungsversuche über PowerShell für C2-Kommunikation [Windows Powershell]
Ansehen
Ausführung von bösartigen Prozessen nach der LNK-Dateiausführung [Windows-Prozess-Erstellung]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinien-Vorab-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der von Angreifern angewandten Technik (TTP), die zur Auslösung der Erkennungsregel konzipiert ist. Die Befehle und Darstellungen MÜSSEN direkt die festgestellten TTPs widerspiegeln und darauf abzielen, die genauen von der Erkennung logisch erwarteten Telemetrien zu generieren.
-
Angriffsnarrativ & Befehle:
Ein Angreifer erstellt eine bösartige Verknüpfung (
malicious.lnk), die aufpowershell.exezeigt mit einem codierten Befehl, um eine Nutzlast herunterzuladen und auszuführen. Die Verknüpfung wird per Spear-Phishing-E-Mail zugestellt. Beim Doppelklick löst der Windows Explorer die.lnkauf, wodurchpowershell.exeals ein Kindprozess des LNK-Prozesses gestartet wird. Diese genaue Eltern-Kind-Beziehung erfüllt die Sigma-Regelexecution_after_LNKBedingung. -
Regression-Testskript:
# ------------------------------------------------------------- # Erstellen einer bösartigen LNK, die PowerShell mit einem codierten Befehl startet # ------------------------------------------------------------- $WshShell = New-Object -ComObject WScript.Shell # Pfad, wo die LNK erstellt wird (Desktop) $lnkPath = "$Env:UserProfileDesktopmalicious.lnk" # Ziel-Executable $target = "$Env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" # Beispiel eines codierten Befehls (erstellt eine Textdatei als harmlosen Indikator) $plainCmd = "New-Item -Path $Env:Tempposeidon_test.txt -ItemType File -Force" $bytes = [System.Text.Encoding]::Unicode.GetBytes($plainCmd) $encoded = [Convert]::ToBase64String($bytes) $arguments = "-EncodedCommand $encoded" $shortcut = $WshShell.CreateShortcut($lnkPath) $shortcut.TargetPath = $target $shortcut.Arguments = $arguments $shortcut.Save() Write-Host "LNK erstellt bei $lnkPath" # ------------------------------------------------------------- # LNK ausführen, um die Erkennungsregel auszulösen # ------------------------------------------------------------- Start-Process -FilePath $lnkPath # ------------------------------------------------------------- # Optional: Pause für SIEM-Integration # ------------------------------------------------------------- Start-Sleep -Seconds 10 # ------------------------------------------------------------- # Bereinigung (Entfernen der Indikator-Datei, der LNK und des Indikators) # ------------------------------------------------------------- Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue Write-Host "Bereinigung abgeschlossen." -
Bereinigungskommandos: (wenn das obige Skript nicht verwendet wird)
# Entfernen Sie alle während des Tests erstellten Indikatordateien Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue # Löschen der bösartigen Verknüpfung $lnkPath = "$Env:UserProfileDesktopmalicious.lnk" Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue Write-Host "Testartefakte entfernt."