RAT de Telegram basado en Rebex que apunta a Vietnam

Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime

Seguir

RAT de Telegram basado en Rebex que apunta a Vietnam

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

Un archivo CHM malicioso entregado dentro de un archivo ZIP deja un entorno de ejecución de Python falso junto con un DLL en C++ que descifra una carga útil incrustada. Esa carga útil establece persistencia a través de un secuestro del shell de Winlogon, una tarea programada y el abuso de MSBuild, luego lanza un RAT basado en .NET de Telegram. El malware se comunica con un bot de Telegram usando un token codificado y soporta ejecución de comandos, reemplazo de tokens y descarga de archivos. Se ha observado que la campaña apunta a víctimas en Vietnam y actualmente no muestra detecciones en VirusTotal.

Investigación

El análisis del archivo CHM reveló un script que descompiló el archivo, limpió PYTHONHOME, y lanzó un ejecutable de Python renombrado con un archivo de código byte compilado. Luego, el bytecode cargó un DLL que descifró un blob ENCRIPTADO de DOCX, extrajo componentes adicionales y los escribió en ubicaciones temporales. El DLL creó entradas en el registro, programó una tarea llamada Doubt, y ejecutó un MSBuild archivo XML para cargar un segundo DLL, que finalmente desplegó el RAT de Telegram en .NET. El RAT dependía de las credenciales de bot de Telegram codificadas para el mando y control.

Mitigación

Los defensores deben bloquear la ejecución de archivos CHM de fuentes no confiables y restringir el uso de hh.exe, msbuild.exe, y PowerShell para scripts no firmados o sospechosos. El monitoreo debe enfocarse en las modificaciones del registro de Winlogon Shell , la creación inusual de tareas programadas y nuevos DLLs dejados en directorios temporales. Las organizaciones también deben inspeccionar el tráfico de la API de Telegram a través de controles proxy y aplicar el principio de menor privilegio para los usuarios finales.

Respuesta

Los equipos de seguridad deben identificar e aislar los hosts afectados, recopilar evidencia volátil y extraer los DLLs maliciosos y scripts para el análisis. El valor de Winlogon Shell y la tarea programada deben ser eliminados, los archivos dejados deben ser borrados, y la configuración alterada del registro debe ser restaurada a un estado conocido como bueno. Cualquier token de bot de Telegram expuesto debe ser rotado inmediatamente, y los defensores deben continuar monitoreando para detectar actividades adicionales de comando y control. Se recomienda una investigación forense completa para determinar si se exfiltraron datos.

"graph TB %% Definiciones de clase classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef registry fill:#ffddaa %% Nodos initial_access_phishing["Acción – T1566.001 Adjunto de Spearphishing Correo electrónico con CHM malicioso disfrazado de documento de Word enviado a la víctima."] class initial_access_phishing action file_chm["Malware – Archivo: CV – Vu PLPC KT nam 2026.chm Disfrazado con doble extensión para parecer un .doc."] class file_chm malware defense_masquerade["Acción – T1036.008 Enmascaramiento El archivo CHM se disfraza de documento de Word usando doble extensión."] class defense_masquerade action defense_obfuscation["Acción – T1027.006 Archivos o Información Ofuscados El contrabando HTML oculta código malicioso dentro del CHM."] class defense_obfuscation action execution_user["Acción – T1204.002 Ejecución del Usuario La víctima abre el CHM, HTML/JS ejecuta la etiqueta OBJECT lanzando cmd.exe."] class execution_user action process_cmd["Proceso – cmd.exe Lanzado por CHM vía etiqueta OBJECT."] class process_cmd process execution_msbuild["Acción – T1127.001 Ejecución por Proxy de Utilidades de Desarrollador de Confianza El script deja caer mechaniSm.xml y llama a msbuild.exe para cargar DLL malicioso .NET."] class execution_msbuild action tool_msbuild["Herramienta – msbuild.exe Usado para cargar ioy24euj.dll."] class tool_msbuild tool file_dll["Malware – DLL: ioy24euj.dll Contiene código .NET para persistencia y entrega de carga útil."] class file_dll malware persistence_autostart["Acción – T1547.014 Configuración Activa El DLL modifica HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell para apuntar al envoltorio renombrado de msbuild."] class persistence_autostart action registry_mod["Registro – HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell Configurado a un envoltorio personalizado de msbuild para ejecución autoautomática."] class registry_mod registry persistence_event["Acción – T1546.009 DLLs de AppCert DLL cargado a través de ctypes.CDLL y posteriormente ejecutado para descifrar cargas adicionales."] class persistence_event action dll_load["Proceso – carga de ctypes.CDLL Carga el DLL malicioso en el espacio de proceso."] class dll_load process privilege_injection["Acción – T1055.001 Inyección de Proceso DLL inyecta código en cmd.exe para ejecutar cargas útiles."] class privilege_injection action process_injection["Proceso – Inyección de DLL en cmd.exe Permite la ejecución de otras rutinas maliciosas."] class process_injection process command_and_control["Acción – T1573 Canal Encriptado .NET RAT se comunica con el bot de Telegram usando mensajes encriptados con XOR y codificados en base64."] class command_and_control action c2_telegram["Herramienta – Bot de Telegram Recibe comandos y exfiltra datos a través de un canal encriptado."] class c2_telegram tool impact_shutdown["Acción – T1529 Apagado/Reinicio del Sistema Tarea programada «Doubt» creada para apagar el sistema todos los viernes a la medianoche."] class impact_shutdown action scheduled_task["Proceso – Tarea Programada «Doubt» Activa el apagado del sistema según el horario."] class scheduled_task process %% Conexiones initial_access_phishing –>|entrega| file_chm file_chm –>|usa| defense_masquerade file_chm –>|usa| defense_obfuscation file_chm –>|desencadena| execution_user execution_user –>|lanza| process_cmd process_cmd –>|habilita| execution_msbuild execution_msbuild –>|usa| tool_msbuild tool_msbuild –>|carga| file_dll file_dll –>|habilita| persistence_autostart persistence_autostart –>|modifica| registry_mod file_dll –>|habilita| persistence_event persistence_event –>|carga vía| dll_load dll_load –>|realiza| privilege_injection privilege_injection –>|inyecta en| process_injection process_injection –>|facilita| command_and_control command_and_control –>|usa| c2_telegram command_and_control –>|conduce a| impact_shutdown impact_shutdown –>|crea| scheduled_task "

Flujo de ataque

Narrativa del Ataque & Comandos
1. Entrega: El atacante entrega un .chm archivo malicioso (nombrado UpdateHelp.chm) a la víctima.
2. Descompilación: La víctima (o un script malicioso) ejecuta hh.exe con la -decompile bandera para extraer la carga útil incrustada:
```
hh.exe -decompile C:TempPayloads C:UsersPublicUpdateHelp.chm
```
  Esto genera el evento de creación de proceso que la regla observa (hh.exe + -decompile).
3. Ejecución de Carga Útil – Intérprete Renombrado: Dentro de los archivos extraídos hay un intérprete de Python renombrado (_pJifgWSwPi.exe). El atacante lo lanza a través de cmd.exe para mantener un perfil bajo:
```
cmd.exe /c "C:TempPayloads_pJifgWSwPi.exe -c "import os; os.system('whoami')""
```
  Esto satisface la cmd.exe condición de la regla.
4. Proxy de Binario Firmado – Msbuild: La carga útil de Python escribe un archivo .proj malicioso y luego invoca msbuild.exe para ejecutarlo, logrando persistencia o ejecución adicional de código:
```
msbuild.exe C:TempPayloadsmalicious.proj /target:Build
```

Script de Prueba de Regresión

#=============================================================
# Simulación de Ataque Basado en CHM – Activa la Regla Sigma
#=============================================================

# Variables
$chmPath   = "C:UsersPublicUpdateHelp.chm"
$outFolder = "C:TempPayloads"
$renamedPy = "_pJifgWSwPi.exe"
$projFile  = "malicious.proj"

# 1. Asegúrese de que exista la carpeta de salida
New-Item -ItemType Directory -Force -Path $outFolder | Out-Null

# 2. Simule la descompilación del archivo CHM
Write-Host "[*] Descompilando CHM..."
hh.exe -decompile $outFolder $chmPath

# 3. Coloque una copia de python.exe (o cualquier exe benigno) como el intérprete renombrado
Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
          -Destination "$outFolder$renamedPy" -Force

# 4. Ejecute el intérprete renombrado a través de cmd.exe
Write-Host "[*] Lanzando intérprete renombrado a través de cmd.exe..."
cmd.exe /c "`"$outFolder$renamedPy`" -c `"Write-Host 'Simulated payload executed'`""

# 5. Cree un proyecto msbuild trivial que muestre un mensaje
$projContent = @"
<Project ToolsVersion='4.0' xmlns='http://schemas.microsoft.com/developer/msbuild/2003'>
  <Target Name='Build'>
    <Message Text='Msbuild executed malicious project' Importance='High'/>
  </Target>
</Project>
"@
Set-Content -Path "$outFolder$projFile" -Value $projContent -Encoding ASCII

# 6. Ejecute msbuild.exe en el proyecto malicioso
Write-Host "[*] Ejecutando msbuild.exe..."
msbuild.exe "$outFolder$projFile" /target:Build

Write-Host "[+] Simulación completa."

Comandos de Limpieza

# Detener cualquier proceso restante (si aún está en ejecución)
Get-Process -Name "_pJifgWSwPi","hh","msbuild","cmd" -ErrorAction SilentlyContinue |
  Stop-Process -Force

# Eliminar archivos y carpetas generados
Remove-Item -Recurse -Force -Path "C:TempPayloads"
# Eliminar opcionalmente el archivo CHM si se creó para la prueba
Remove-Item -Force -Path "C:UsersPublicUpdateHelp.chm" -ErrorAction SilentlyContinue

Write-Host "[+] Limpieza completada."

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis