Operación Poseidón: Ataques de Spear-Phishing Que Abusan de los Mecanismos de Redirección de Google Ads
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Operación Poseidon es una campaña de spear-phishing atribuida al Konni APT que aprovecha los URLs de seguimiento/redirección de clics de anuncios de Google y Naver para entregar archivos LNK maliciosos. Al abrirse, el LNK activa un cargador AutoIt que ejecuta EndRAT predominantemente en la memoria. La operación se basa en sitios de WordPress comprometidos para el alojamiento de cargas útiles y servicios de comando y control (C2).
Investigación
El Centro de Seguridad de Genians revisó los cebos de correos electrónicos de phishing, balizas de seguimiento incrustadas y el flujo de ejecución de extremo a extremo: desde el lanzamiento del atajo LNK hasta la lógica de puesta en escena de AutoIt y el despliegue de EndRAT en la memoria. Los analistas también notaron la reutilización de artefactos de infraestructura y desarrollo, incluido el dominio jlrandsons.co.uk y la ruta de compilación D:3_Attack WeaponAutoitBuild__Poseidon – Attackclient3.3.14.a3x.
Mitigación
Prevenga la ejecución de archivos LNK entregados dentro de archivos ZIP y examine las cadenas de redirección de clics en anuncios que se originan en dominios de seguimiento de Google/Naver. Aplique una cobertura estricta de EDR para la actividad de AutoIt y la generación de procesos sospechosos (notablemente lanzamientos anormales de PowerShell o cmd.exe). Reduzca el abuso de infraestructura reforzando y parcheando rutinariamente las instancias de WordPress para limitar su uso como puntos de distribución de malware.
Respuesta
Alerte sobre eventos iniciales de ejecución de LNK, marque ejecuciones de AutoIt.exe iniciadas por interacción del usuario y monitoree las conexiones salientes a los dominios e IPs de C2 identificados. Cuarentene los puntos finales sospechosos y recoja artefactos forenses, incluido el script de AutoIt, metadatos del LNK y cualquier componente EndRAT recuperado, para apoyar el alcance y la erradicación.
Flujo de Ataque
Detecciones
Posible Archivo LNK Malicioso con Doble Extensión (vía cmdline)
Ver
Binario AutoIT Fue Ejecutado Desde Ubicación Inusual (vía creación de proceso)
Ver
IOC (DestinationIP) a detectar: Operación Poseidon: Ataques de Spear-Phishing que Abusan de Mecanismos de Redirección de Anuncios de Google
Ver
IOC (Emails) a detectar: Operación Poseidon: Ataques de Spear-Phishing que Abusan de Mecanismos de Redirección de Anuncios de Google
Ver
IOC (SourceIP) a detectar: Operación Poseidon: Ataques de Spear-Phishing que Abusan de Mecanismos de Redirección de Anuncios de Google
Ver
IOC (HashMd5) a detectar: Operación Poseidon: Ataques de Spear-Phishing que Abusan de Mecanismos de Redirección de Anuncios de Google
Ver
Intentos de Conexión Externa Anómalos vía PowerShell para Comunicación C2 [Windows PowerShell]
Ver
Ejecución de Procesos Maliciosos Tras Ejecución de Archivo LNK [Creación de Procesos en Windows]
Ver
Ejecución de Simulación
Prerrequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica de adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
Un atacante elabora un acceso directo malintencionado (
malicioso.lnk) que apunta apowershell.execon un comando codificado para descargar y ejecutar una carga útil. El acceso directo se entrega a través de un correo electrónico de spear-phishing. Al hacer doble clic, el Explorador de Windows resuelve el.lnk, generandopowershell.execomo hijo del proceso LNK. Esta relación exacta de padre-hijo satisface laejecución_detrás_de_LNKcondición de la regla Sigma. -
Guion de Prueba de Regresión:
# ------------------------------------------------------------- # Crear un acceso directo LNK malicioso que lanza PowerShell con un comando codificado # ------------------------------------------------------------- $WshShell = New-Object -ComObject WScript.Shell # Ruta donde se creará el LNK (Escritorio) $lnkPath = "$Env:UserProfileDesktopmalicious.lnk" # Ejecutable objetivo $target = "$Env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" # Ejemplo de comando codificado (crea un archivo de texto como un indicador inofensivo) $plainCmd = "New-Item -Path $Env:Tempposeidon_test.txt -ItemType File -Force" $bytes = [System.Text.Encoding]::Unicode.GetBytes($plainCmd) $encoded = [Convert]::ToBase64String($bytes) $arguments = "-EncodedCommand $encoded" $shortcut = $WshShell.CreateShortcut($lnkPath) $shortcut.TargetPath = $target $shortcut.Arguments = $arguments $shortcut.Save() Write-Host "LNK creado en $lnkPath" # ------------------------------------------------------------- # Ejecutar el LNK para activar la regla de detección # ------------------------------------------------------------- Start-Process -FilePath $lnkPath # ------------------------------------------------------------- # Opcional: pausar para permitir la ingesta de SIEM # ------------------------------------------------------------- Start-Sleep -Seconds 10 # ------------------------------------------------------------- # Limpieza (eliminar el archivo indicador, el LNK y el indicador) # ------------------------------------------------------------- Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue Write-Host "Limpieza completada." -
Comandos de Limpieza: (si el script anterior no se usa)
# Eliminar cualquier archivo indicador creado durante la prueba Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue # Eliminar el acceso directo malicioso $lnkPath = "$Env:UserProfileDesktopmalicious.lnk" Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue Write-Host "Artefactos de prueba eliminados."