Detectando Nimbus Manticore y sus cadenas de infección por sideloading

SOC Prime Team

Seguir

Detectando Nimbus Manticore y sus cadenas de infección por sideloading

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

Nimbus Manticore, también rastreado como UNC1549, llevó a cabo una campaña de phishing dirigida que utilizó portales de reclutamiento falsos para entregar una cadena de malware .NET de múltiples etapas. El ataque abusó de componentes legítimos de Microsoft Visual Studio junto con el secuestro de AppDomain para cargar un DLL personalizado, el cual desplegó un segundo DLL y creó persistencia a través de una tarea programada. La infraestructura de comando y control se alojó en dominios basados en Azure. La campaña tuvo como objetivo principal empresas aeroespaciales y de defensa en el Medio Oriente y Europa.

Investigación

Los investigadores reconstruyeron toda la cadena de infección, comenzando con el señuelo de LinkedIn y continuando a través del archivo ZIP, el modificado setup.exe.config archivo y la fase inicial cifrada. Su análisis reveló abuso de un ServiceHub.VSDetouredHost.exerenombrado, el TOTPGuard.dll cargador, un encabezado PE cifrado con AES, y una tarea programada activada por inicio de sesión llamada BackupCheck. Los indicadores de red también apuntaron a varios dominios alojados en Azure utilizados para comunicaciones de comando y control.

Mitigación

Las organizaciones deben capacitar a los empleados para detectar la ingeniería social con temática de reclutamiento, bloquear o monitorear de cerca los dominios recién registrados, y aplicar AppLocker o controles equivalentes en directorios con escritura de usuario. Los defensores también deben vigilar las tareas programadas con el nombre BackupCheck o ejecuciones que utilicen el argumento doit . También se recomienda monitorear el comportamiento de secuestro de AppDomain en aplicaciones .NET y el tráfico sospechoso a dominios de comando y control alojados en Azure.

Respuesta

Si se detecta actividad relacionada, aísle el punto final afectado, recoja los binarios maliciosos y la definición de tareas programadas, y bloquee los dominios de Azure asociados, así como el portal de reclutamiento falso. Los investigadores deben realizar una revisión forense del AppData2FAGuard carpeta, eliminar la tarea de persistencia y buscar actividad similar en otros sistemas utilizando las mismas firmas YARA. La lógica de detección debe actualizarse con los nuevos indicadores identificados.

graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef file fill:#ccffcc classDef process fill:#ffdddd %% Nodes action_phishing[«Action – T1566.002 Spearphishing Link Las víctimas reciben mensajes de LinkedIn que suplantan a un reclutador y contienen un enlace malicioso a un portal de empleo falso.»] class action_phishing action action_delivery[«Action – Distribución mediante ZIP malicioso El portal falso proporciona un archivo ZIP que contiene un binario de Microsoft disfrazado y archivos ocultos.»] class action_delivery action file_malicious_zip[«File – Name: payload.zip Contains: setup.exe y archivos ocultos adicionales»] class file_malicious_zip file file_setup_exe[«File – Name: setup.exe (renombrado ServiceHub.VSDetouredHost.exe) Signature: Firma de código válida de Microsoft»] class file_setup_exe file action_execution_proxy[«Action – T1218 System Binary Proxy Execution Utiliza el binario firmado de Microsoft como proxy para ejecutar código malicioso.»] class action_execution_proxy action action_masquerade[«Action – T1036.001 Invalid Code Signature Masquerading Renombra el binario firmado legítimo para que parezca benigno y evadir la detección.»] class action_masquerade action action_hijack_path[«Action – T1574.008 Search Order Hijacking El archivo setup.exe.config manipula el orden de búsqueda para cargar componentes controlados por el atacante.»] class action_hijack_path action action_hijack_appdomain[«Action – T1574.014 AppDomainManager Hijack Fuerza al runtime .NET a cargar la DLL maliciosa TOTPGuard.dll mediante AppDomainManager.»] class action_hijack_appdomain action file_totpguard[«File – Name: TOTPGuard.dll Purpose: Proporciona una función 2FA personalizada usada por el payload malicioso.»] class file_totpguard file action_ide_extension[«Action – T1176.002 IDE Extensions Abusa del componente host de Visual Studio para ejecutar el payload.»] class action_ide_extension action action_persistence[«Action – T1037.001 Scheduled Task Crea una tarea programada llamada \»BackupCheck\» que se ejecuta al iniciar sesión con el argumento \»doit\».»] class action_persistence action action_env_keying[«Action – T1480.001 Environmental Keying Despliega un payload cifrado AES con clave e IV codificados, cifrando la cabecera MZ para ejecución condicional.»] class action_env_keying action action_virtual_instance[«Action – T1564.006 Run Virtual Instance Incorpora una GUI funcional de 2FA para simular un flujo legítimo y ocultar la actividad maliciosa.»] class action_virtual_instance action %% Connections action_phishing –>|delivers| action_delivery action_delivery –>|provides| file_malicious_zip file_malicious_zip –>|contains| file_setup_exe file_setup_exe –>|used for| action_execution_proxy action_execution_proxy –>|combined with| action_masquerade action_masquerade –>|enables| action_hijack_path action_hijack_path –>|leads to| action_hijack_appdomain action_hijack_appdomain –>|loads| file_totpguard file_totpguard –>|enables| action_ide_extension action_ide_extension –>|supports| action_persistence action_persistence –>|establishes| action_env_keying action_env_keying –>|facilitates| action_virtual_instance

Flujo de Ataque

Narrativa del Ataque y Comandos:
Un atacante ha obtenido una copia del legítimo Visual Studio setup.exe binario, lo renombró a setup.exe (manteniendo el nombre sin cambios para evitar sospechas), y lo colocó en un directorio escribible. Crean un DLL malicioso llamado TOTPGuard.dll que contiene la carga útil. Para secuestrar el AppDomain, incrustan la cadena AppDomainInjection en el argumento de ruta PDB. El atacante luego lanza el ejecutable con la siguiente línea de comandos:
```
C:Tempsetup.exe /install /doit /dll "C:TempTOTPGuard.dll" /pdb "C:TempAppDomainInjection.pdb"
```
Esta invocación exacta satisface las tres condiciones CommandLine|contains en la regla Sigma, haciendo que la regla se active en el evento ProcessCreate.

Script de Prueba de Regresión:

# -------------------------------------------------
# Script de regresión para activar la detección de Nimbus Manticore
# -------------------------------------------------
$exePath   = "C:Tempsetup.exe"
$dllPath   = "C:TempTOTPGuard.dll"
$pdbPath   = "C:TempAppDomainInjection.pdb"

# Asegúrese de que los archivos existen (cree marcadores de posición ficticios para la prueba)
New-Item -ItemType File -Path $exePath -Force | Out-Null
New-Item -ItemType File -Path $dllPath -Force | Out-Null
New-Item -ItemType File -Path $pdbPath -Force | Out-Null

# Construya la línea de comando maliciosa
$arguments = @(
    "/install"
    "/doit"
    "/dll `"$dllPath`""
    "/pdb `"$pdbPath`""
) -join " "

Write-Host "Lanzando setup.exe malicioso con argumentos:"
Write-Host $arguments

# Ejecutar el proceso (se terminará inmediatamente ya que el exe ficticio no hace nada)
Start-Process -FilePath $exePath -ArgumentList $arguments -PassThru | Out-Null

Comandos de Limpieza:

# -------------------------------------------------
# Limpieza de artefactos creados para la prueba de regresión
# -------------------------------------------------
$paths = @(
    "C:Tempsetup.exe",
    "C:TempTOTPGuard.dll",
    "C:TempAppDomainInjection.pdb"
)

foreach ($p in $paths) {
    if (Test-Path $p) {
        Remove-Item -Path $p -Force
        Write-Host "Eliminado $p"
    }
}

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis