SOC Prime Bias: Hoch

24 Jun 2026 06:30 UTC
newspaper icon Seqrite Labs

Waffenisierte RAR-Archive zielen auf den Gesundheitssektor in Thailand ab

Author Photo
SOC Prime Team linkedin icon Folgen
Waffenisierte RAR-Archive zielen auf den Gesundheitssektor in Thailand ab
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Eine gezielte Malware-Kampagne trifft aktiv den thailändischen Gesundheitssektor durch bewaffnete RAR-Archive. Diese Archive enthalten verschleierte Batch-Skripte, die eine mehrstufige Infektionskette auslösen und letztendlich einen Python-basierten Informationsdieb ausführen. Die Malware ist dazu ausgelegt, Browser-Anmeldeinformationen und Sitzungscookies zu erfassen und die gestohlenen Daten über Telegram zu exfiltrieren.

Untersuchung

Seqrite Lab identifizierte ein aktives Kampagnenfenster über zehn Wochen von April bis Juni 2026. Ihre Untersuchung deckte eine komplexe Ausführungskette auf, die Rouki-verschleierte Loader, Payloads, die auf GitHub gehostet werden, und die Persistenz über den Windows-Startup-Ordner beinhaltete. Analysten beobachteten auch Versuche, Informationen von Chromium-basierten Browsern zu stehlen und diese über die Telegram Bot API zu senden.

Minderung

Organisationen sollten strenge Kontrollen zur Ausführung von nicht vertrauenswürdigen Skripten und Binärdateien, die aus externen Quellen stammen, durchsetzen. Eine enge Überwachung unautorisierter Änderungen am Windows-Startup-Ordner ist entscheidend. Sicherheitsteams sollten auch den Zugang zu Datei-Hosting- und Messaging-Diensten wie GitHub und Telegram einschränken, wenn diese von nicht genehmigten Prozessen genutzt werden.

Reaktion

Wird eine Infektion festgestellt, sollten Reaktions-Teams betroffene Endpunkte sofort isolieren, um weiteren Datendiebstahl zu stoppen. Die forensische Analyse sollte sich auf die %TEMP% and AppData Verzeichnisse konzentrieren, um sekundäre Payloads und zugehörige Artefakte zu identifizieren. Der Verlauf des Browsers und die Anmeldedaten-Speicher sollten auf Anzeichen eines Kompromisses überprüft werden, und ein Passwort-Reset-Prozess sollte für alle potenziell betroffenen Benutzer eingeleitet werden.

"graph TB %% Klassendefinitionen Abschnitt classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef persistence fill:#ccffcc classDef exfiltration fill:#ffccff %% Knotendefinitionen action_phishing["<b>Aktion</b> – <b>T1566.001 Phishing: Spearphishing Anlage</b><br/>Beschreibung: Gesundheitsbezogene E-Mails mit<br/>bösartigen RAR-Archiven wie Health_Ministry_Approved_Equipment_2026.rar"] class action_phishing action action_user_exec["<b>Aktion</b> – <b>T1204.002 Benutzer Ausführung: Bösartige Datei</b><br/>Beschreibung: Das Opfer öffnet das Archiv und führt das<br/>eingebettete bösartige Batch-Skript aus"] class action_user_exec action tool_powershell["<b/>Werkzeug – <b/>Name: PowerShell<br/><b>Technik</b> – T1059.001 Kommando- und Skriptinterpreter: PowerShell<br/>Beschreibung: Wird verwendet, um eingebettete Inhalte zu dekodieren und den Download nachfolgender Stufen zu initiieren"] class tool_powershell tool action_ingress["<b/>Aktion – <b/>T1105 Ingress-Werkzeugübertragung</b><br/>Beschreibung: Verwendung von PowerShell und Curl zum Herunterladen von sekundären Payloads von auf GitHub gehosteten Repositories"] class action_ingress action malware_persistence["<b/>Aktion – <b/>T1547.001 Boot- oder Anmeldeautostart-Ausführung: Registry Run Keys / Startup-Ordner</b><br/>Beschreibung: Das bösartige Batch-Datei WindowSecuryt.bat wird für Persistenz im Windows-Startup-Verzeichnis platziert"] class malware_persistence persistence action_elevation["<b/>Aktion – <b/>T1548 Missbrauch von Elevation-Control-Mechanismus</b><br/>Beschreibung: Der sekundäre Batch-Payload u-t2.bat versucht, sich selbst mit erhöhten Rechten neu zu starten"] class action_elevation action malware_stealer["<b/>Malware – <b/>Name: sim.py<br/>Beschreibung: Python-basierter Informationsdieb, der entwickelt wurde, um sensible Daten zu ernten"] class malware_stealer malware action_credentials["<b/>Aktion – <b>T1555.003 Anmeldedaten aus Web-Browsern</b><br/>Beschreibung: Beendet Browserprozesse, um Anmeldedaten, Cookies und Sitzungsartefakte zu ernten"] class action_credentials action action_archive["<b/>Aktion – <b>T1560 Archivierte gesammelte Daten</b><br/>Beschreibung: Gestohlene Daten werden in ZIP-Archiven komprimiert für eine effiziente Sammlung"] class action_archive action action_exfiltration["<b/>Aktion – <b>T1567 Exfiltration über Webdienst</b><br/>Beschreibung: Überträgt geerntete Daten über die Telegram Bot API an von Angreifern kontrollierte Telegram-Kanäle"] class action_exfiltration exfiltration %% Verbindungen Abschnitt %% Der Angriff beginnt mit Phishing action_phishing –>|führt zu| action_user_exec %% Benutzerausführung löst den Interpreter aus action_user_exec –>|löst aus| tool_powershell %% PowerShell führt Ingress aus tool_powershell –>|führt aus| action_ingress %% Ingress bringt den Persistenzmechanismus ein action_ingress –>|lädt herunter| malware_persistence %% Persistenz führt zu Elevationsversuchen malware_persistence –>|initiiert| action_elevation %% Erhöhung führt zur Bereitstellung des Diebs action_elevation –>|stellt bereit| malware_stealer %% Stealer führt Anmeldeinformationsernte durch malware_stealer –>|führt aus| action_credentials %% Die Ernte führt zur Archivierung action_credentials –>|resultiert in| action_archive %% Die Archivierung führt zur endgültigen Exfiltration action_archive –>|erleichtert| action_exfiltration "

Angriffsfluss

Simulationsausführung

Voraussetzung: Der Telemetrie- & Baseline-Prüfflug muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und der Text MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle: Der Gegner hat erfolgreich anfänglichen Zugang erlangt und einen Python-basierten Informationsdieb namens sim.py in C:UsersPublicDesktopsLibabgelegt. Das Ziel ist es, Anmeldeinformationen von Chrome und Edge zu ernten. Um Datenbanksperren im Benutzerprofil zu vermeiden, führt der Angreifer das Python-Skript aus und startet sofort taskkill Befehle, um die Browserprozesse zu beenden. Diese Sequenz ist so ausgelegt, dass sie automatisiertes Malware-Verhalten nachahmt.

  • Regressionstest-Skript:

    # 1. Die Umgebung einrichten (Angreifer-Fußabdruck simulieren)
$targetDir = "C:UsersPublicDesktopsLib"
if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force }
$scriptPath = "$targetDirsim.py"
"print('Stealing data...')" | Out-File -FilePath $scriptPath -Encoding utf8

# 2. Das "bösartige" Python-Skript ausführen (Auslöser Auswahl 1)
Write-Host "Python-Skript wird ausgeführt..."
Start-Process "python.exe" -ArgumentList "`"$scriptPath`"" -Wait

# 3. Taskkill-Befehle ausführen (Auslöser Auswahl 2)
Write-Host "Taskkill-Befehle werden ausgeführt..."
$browsers = @("chrome.exe", "edge.exe", "brave.exe", "chromium.exe")
foreach ($browser in $browsers) {
    Start-Process "taskkill.exe" -ArgumentList "/IM", $browser, "/F" -ErrorAction SilentlyContinue
}

  • Bereinigungskommandos:

    # Entfernen der simulierten Malware-Dateien und Verzeichnis
Remove-Item -Path "C:UsersPublicDesktopsLib" -Recurse -Force

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten