Pawn Storm Kampagne setzt PRISMEX ein, zielt auf Regierungs- und kritische Infrastruktureinrichtungen ab
Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Wenn PRISMEX-Aktivität erkannt wird, isolieren Sie sofort die betroffenen Systeme, erfassen Sie flüchtigen Speicher zur Extraktion von .NET-Assemblies im Speicher und suchen Sie nach den charakteristischen steganografischen PNG-Nutzlasten und COM-Hijack-Registry-Einträgen. Blockieren Sie alle Filen.io Subdomains und die wellnesscaremed.com Domain, und wenden Sie auf IOCs basierende Erkennung und Blockierung für die identifizierten Dateinamen und geplante Aufgaben an.
Reaktion
Organisationen sollten CVE-2026-21509 und CVE-2026-21513 unverzüglich patchen, den Zugriff auf nicht genehmigte Cloud-Speicherdienste einschränken und das Shell.Explorer.1-COM-Objekt über die Registry deaktivieren. Verteidiger sollten Makrobeschränkungen durchsetzen, COM-Registrierung unter überwachen HKCU\Software\Classes\CLSID, und verdächtige geplante Aufgaben wie OneDriveHealth überprüfen. ETW-Protokollierung sollte ebenfalls aktiviert werden, um unerwartete CLR-Ladungen in explorer.exe.
Minderung
Forscher bei TrendAI identifizierten die PRISMEX-Tool-Komponenten — PrismexSheet, PrismexDrop, PrismexLoader und PrismexStager — und verknüpften sie mit früheren Pawn Storm-Aktivitäten. Sie fanden Hinweise darauf, dass die Angreifer Wochen vor der öffentlichen Offenlegung der Schwachstellen Infrastruktur vorbereiteten und den Einsatz einer gemeinsamen C2-Domain dokumentierten, wellnesscaremed.com. Die Forschung kartierte auch die MITRE ATT&CK-Techniken, die während der gesamten Angriffsverlaufskette verwendet wurden.
Untersuchung
Pawn Storm (APT28) hat eine Kampagne mit einem neuen Malware-Toolkit namens PRISMEX gestartet, das die ukrainische Verteidigungsnachschubkette sowie verbündete Regierungs- und Logistikorganisationen ins Visier nimmt. Der Betrieb nutzt zwei kürzlich offengelegte Zero-Day-Schwachstellen aus, CVE-2026-21509 und CVE-2026-21513, während legitime Cloud-Plattformen für Command and Control missbraucht werden. Das Toolkit umfasst steganografische Loader, COM-Hijacking für Persistenz und einen Covenant Grunt Stager, der auf Filen.iogehostet wird. Die Erkennung bleibt aufgrund von dateiloser Ausführung und verschlüsseltem Netzwerkverkehr herausfordernd.
"graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef exploit fill:#ffcc99 classDef file fill:#ffeb99 classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef c2 fill:#ccffcc %% Knoten step1_phishing["<b>Aktion</b> – <b>T1566.001 Phishing: Spearphishing-Anhang</b><br/>Gegner senden gezielte RTF-Dokumente mit bösartigen OLE-Objekten an Opfer."] class step1_phishing action artifact_rtf["<b>Datei</b> – <b>Name</b>: Bösartiges RTF-Dokument<br/>Enthält manipuliertes OLE-Objekt"] class artifact_rtf file step2_vba["<b>Aktion</b> – <b>T1059.005 Befehl und Skript-Interpreter: Visual Basic</b><br/>Eingebettetes VBA-Makro wird beim Öffnen des Dokuments automatisch ausgeführt."] class step2_vba action step3_exploit["<b>Exploits</b> – CVEu20112026u201121509 OLE-Umgehung<br/>Makro kontaktiert bösartigen WebDAV-Server und lädt .lnk herunter"] class step3_exploit exploit artifact_lnk["<b>Datei</b> – <b>Name</b>: Bösartige .lnk-Verknüpfung"] class artifact_lnk file step4_html["<b>Aktion</b> – <b>T1218.001 Systembinary-Proxyausführung: Kompilierte HTML-Datei</b><br/>.lnk löst CVEu20112026u201121513 in MSHTML aus, führt eingebettetes HTML-Payload aus."] class step4_html action artifact_html["<b>Datei</b> – <b>Name</b>: Eingebettete HTML-Nutzlast"] class artifact_html file step5_com_hijack["<b>Aktion</b> – <b>T1546.009 Ereignisgesteuerte Ausführung: AppCert-DLLs</b><br/>Payload registriert bösartige DLL als InProcServer32 für einen CLSID zur Persistenz."] class step5_com_hijack action malicious_dll["<b>Malware</b> – <b>Name</b>: PrismexLoader DLL<br/>Gibt sich als legitime Windows-DLL aus"] class malicious_dll malware step6_dll_hijack["<b>Aktion</b> – <b>T1574.001 Hijack-Ausführungsfluss: DLL</b><br/>Proxy-DLL leitet legitime Aufrufe weiter, während bösartiger Code ausgeführt wird."] class step6_dll_hijack action step7_stego["<b>Aktion</b> – <b>T1027.003 Verdeckte Dateien oder Informationen: Steganographie</b><br/>Proxy-DLL extrahiert .NET-Payload, der in PNG versteckt ist, mithilfe von Bit Plane Round Robin."] class step7_stego action stego_png["<b>Datei</b> – <b>Name</b>: PNG-Bild mit verstecktem Payload"] class stego_png file dotnet_payload["<b>Malware</b> – <b>Name</b>: .NET Covenant Grunt stager"] class dotnet_payload malware step8_c2["<b>Aktion</b> – <b>T1102 Web-Service</b><br/>Stager kommuniziert mit Filen.io-Cloud-Speichersubdomains für C2."] class step8_c2 action c2_filen["<b>C2</b> – Filen.io-Cloud-Speicher"] class c2_filen c2 step9_exfil["<b>Aktion</b> – <b>T1567.002 Exfiltration über Web-Service: Exfiltration zu Cloud-Speicher</b><br/>Gesammelte Daten werden verschlüsselt und auf Filen.io hochgeladen."] class step9_exfil action step10_email["<b>Aktion</b> – <b>T1114.001 E-Mail-Sammlung: Lokale E-Mail-Sammlung</b><br/>Malware erntet Outlook-Mailboxdateien zur Erkundung."] class step10_email action outlook_data["<b>Datei</b> – <b>Name</b>: Outlook-Mailboxdateien (OST/PST)"] class outlook_data file %% Verbindungen step1_phishing –>|liefert| artifact_rtf artifact_rtf –>|löst aus| step2_vba step2_vba –>|führt aus| step3_exploit step3_exploit –>|lädt herunter| artifact_lnk artifact_lnk –>|löst aus| step4_html step4_html –>|führt aus| artifact_html artifact_html –>|lädt| step5_com_hijack step5_com_hijack –>|registriert| malicious_dll malicious_dll –>|lädt| step6_dll_hijack step6_dll_hijack –>|extrahiert| step7_stego step7_stego –>|liest| stego_png stego_png –>|enthält| dotnet_payload dotnet_payload –>|kommuniziert mit| step8_c2 step8_c2 –>|verwendet| c2_filen dotnet_payload –>|exfiltriert Daten über| step9_exfil step9_exfil –>|speichert in| c2_filen step10_email –>|erntet| outlook_data dotnet_payload –>|sammelt E-Mail von| outlook_data %% Klassenaufgaben class step1_phishing,step2_vba,step3_exploit,step4_html,step5_com_hijack,step6_dll_hijack,step7_stego,step8_c2,step9_exfil,step10_email action class artifact_rtf,artifact_lnk,artifact_html,stego_png,outlook_data file class malicious_dll,dotnet_payload malware class step3_exploit step4_html step5_com_hijack step6_dll_hijack step7_stego exploit class c2_filen c2 "
Angriffsfluss
Erkennungen
Verdächtige Binärdateien / Skripte im Autostart-Verzeichnis (via file_event)
Ansicht
Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieter-Dienste / -Tools (via dns)
Ansicht
Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieter-Dienste / -Tools (via proxy)
Ansicht
Mögliche Explorer COM Hijacking (via registry_event)
Ansicht
Mögliche Outlook-basierte Persistenz (via file_event)
Ansicht
Mögliche Explorer COM Hijacking (via file_event)
Ansicht
IOCs (HashSha256) zur Erkennung: Pawn Storm-Kampagne setzt PRISMEX ein, zielt auf Regierungs- und kritische Infrastruktureinrichtungen ab
Ansicht
Erkennung ungewöhnlicher CLR-Initialisierung im Explorer-Prozess [Windows-Prozesserstellung]
Ansicht
PrismexSheet COM Hijacking Persistenz [Windows-Registry-Ereignis]
Ansicht
Simulationsausführung
Voraussetzung: Die Telemetrie- und Basislinien-Vorabprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die die Erkennungslogik erwartet. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
- Der Angreifer hat eine bösartige DLL beschafft (
evil.dll) an einem beschreibbaren Verzeichnis platziert (z. B.,C:Tempevil.dll). - Um Persistenz zu erreichen, wählen sie den CLSID
{68DDBB56-9D1D-4FD9-89C5-C0DA2A625392}(einer der von der Regel verfolgten GUIDs). - Verwenden des integrierten
reg.exe(oder PowerShell), setzen sie den Standardwert derInProcServer32-Unterschlüssel auf den Pfad der bösartigen DLL, wodurch jede COM-Aktivierung dieses CLSID gehijackt wird. - Die Registry-Änderung erzeugt einen Eintrag EventID 13 mit der genauen
TargetObject, das der Erkennungsregel entspricht.
- Der Angreifer hat eine bösartige DLL beschafft (
-
Regressionstest-Skript:
# ------------------------------------------------- # PrismexSheet COM Hijacking Persistenz-Simulation # ------------------------------------------------- $guid = '{68DDBB56-9D1D-4FD9-89C5-C0DA2A625392}' $dllPath = "C:Tempevil.dll" # Stellen Sie sicher, dass die bösartige DLL vorhanden ist (Platzhalter für Test) if (-not (Test-Path $dllPath)) { New-Item -Path $dllPath -ItemType File -Force | Out-Null Set-Content -Path $dllPath -Value "Platzhalter für bösartige Nutzlast" } $regPath = "HKCU:SoftwareClassesCLSID$guidInProcServer32" # Erstellen Sie den Schlüssel, falls er nicht existiert New-Item -Path $regPath -Force | Out-Null # Setzen Sie den Standardwert, um auf die bösartige DLL zu verweisen Set-ItemProperty -Path $regPath -Name '(Standard)' -Value $dllPath Write-Host "COM Hijack bei $regPath -> $dllPath beibehalten" -
Aufräumbefehle:
# Entfernen der bösartigen COM-Registrierung $guid = '{68DDBB56-9D1D-4FD9-89C5-C0DA2A625392}' $regPath = "HKCU:SoftwareClassesCLSID$guid" Remove-Item -Path $regPath -Recurse -Force # Löschen der Dummy-DLL Remove-Item -Path "C:Tempevil.dll" -Force -ErrorAction SilentlyContinue Write-Host "Bereinigung abgeschlossen."