AsyncRAT livré à travers des campagnes de menace thématiques sur l’IA

SOC Prime Team

Suivre

AsyncRAT livré à travers des campagnes de menace thématiques sur l’IA

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Les acteurs de la menace exploitent des appâts thématiques sur l’IA pour distribuer une chaîne d’infection par logiciel malveillant à étapes multiples. L’attaque combine des scripts en plusieurs étapes, des chargeurs basés sur AutoHotkey et une creuse de processus pour déployer à la fois un cheval de Troie d’accès à distance .NET et AsyncRAT. Un aspect notable de la campagne est l’utilisation apparente du développement assisté par l’IA, reflétée dans les noms de variables chinois simplifiés et les commentaires de code intégrés dans l’ensemble du logiciel malveillant.

Enquête

Les laboratoires FortiGuard ont examiné une séquence d’intrusion complexe qui a commencé par une archive ZIP malveillante contenant un fichier LNK. Leur analyse a révélé plusieurs étapes d’extraction de charge utile depuis un conteneur basé sur un PDF, suivies d’une injection réflexive pilotée par AutoHotkey et du déploiement final d’un RAT .NET modulaire aux côtés d’AsyncRAT. Les chercheurs ont également documenté des méthodes distinctes d’obfuscation, incluant une abstraction sémantique en langue chinoise et une logique de déchiffrement personnalisée conçue pour dissimuler le comportement du logiciel malveillant.

Atténuation

Les utilisateurs doivent être particulièrement prudents avec les fichiers LNK, les archives compressées et les documents reçus de sources non fiables ou inattendues. Les organisations doivent réviser les entrées de démarrage, les tâches planifiées et les emplacements de registre pour détecter les modifications non autorisées. La surveillance des activités PowerShell suspectes et des connexions réseau sortantes inhabituelles est également essentielle pour identifier les premiers stades de la compromission.

Réponse

Si cette activité est détectée, les intervenants doivent effectuer une revue judiciaire des %LOCALAPPDATA% and %APPDATA% répertoires pour identifier les scripts déposés et les artefacts associés. Le Planificateur de tâches doit être vérifié pour les tâches suspectes telles que CheckRealtekAudioVersion or ResetRealtekAudioSettings64. Les systèmes affectés doivent être isolés immédiatement pour éviter toute communication supplémentaire avec les domaines et adresses IP malveillants identifiés.

"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef technique fill:#ffff99 %% Node Definitions %% Initial Stage action_user_exec["Action – T1204.002 Exécution de fichier malveillant par l’utilisateur L’utilisateur ouvre une archive compressée contenant un raccourci LNK malveillant déguisé en guide IA."] class action_user_exec action action_obfuscation["Action – T1027 Fichiers ou informations obfusqués Le fichier LNK utilise cmd.exe pour exécuter une séquence de commande obfusquée pour extraire des données à partir d’un fichier PDF caché nommé 3th.pdf."] class action_obfuscation technique %% Staged Execution action_ps_decryption["Action – T1027.013 Fichiers ou informations obfusqués : Fichier chiffré/encodé Un script PowerShell effectue un déchiffrement AES-CBC et un décodage Base64 pour révéler une charge utile sauvée sous Cache_{GUID}.ps1."] class action_ps_decryption technique %% Persistence and Evasion action_persistence["Action – T1547 Persistance Le script crée une tâche planifiée nommée CheckRealtekAudioVersion pour assurer sa survie."] class action_persistence technique action_exclusion["Action – T1679 Exclusion Sélective Le logiciel malveillant utilise Add-MpPreference pour ajouter le lecteur C et powershell.exe à la liste d’exclusion de Microsoft Defender."] class action_exclusion technique %% Proxying and Scripting action_cmd_shell["Action – T1059.003 Interpréteur de commandes et de scripts : Windows Command Shell Utilise Windows Command Shell pour l’exécution."] class action_cmd_shell technique action_syncappv["Action – T1216.002 Exécution de script proxy système : SyncAppvPublishingServer Utilise un fichier VBS ResetRealtekAudioSettings64.vbs pour agir en tant que médiateur pour lancer des fichiers batch."] class action_syncappv technique %% AutoHotkey Stage tool_autohotkey["Outil : AutoHotkey.exe Binaire bénin utilisé pour exécuter des scripts malveillants .ahk pour une logique complexe."] class tool_autohotkey tool action_ahk_interpreter["Action – T1059.010 Interpréteur de commandes et de scripts : AutoHotKey & AutoIT Les scripts .ahk gèrent l’injection de processus et l’orchestration."] class action_ahk_interpreter technique %% Injection and Payload action_hollowing["Action – T1055.012 Injection de processus : Creuse de processus Reconstruit une charge utile PE à partir de données textuelles et l’injecte dans des processus .NET légitimes."] class action_hollowing technique process_dotnet["Processus : Processus .NET Processus légitime ciblé tel que AddInProcess32.exe pour l’injection."] class process_dotnet process malware_asyncrat["Logiciel malveillant : AsyncRAT Un cheval de Troie d’accès à distance .NET modulaire déployé comme charge utile finale."] class malware_asyncrat malware action_exfiltration["Action – T1048 Exfiltration via un protocole alternatif Exfiltre les informations système et effectue une surveillance via des domaines C2 tels que shampobiskworld.nl."] class action_exfiltration technique %% Connections %% Initial chain action_user_exec –>|conduit à| action_obfuscation action_obfuscation –>|déclenche| action_ps_decryption %% Persistence and Evasion chain action_ps_decryption –>|établit| action_persistence action_ps_decryption –>|effectue| action_exclusion %% Scripting and Proxying chain action_ps_decryption –>|exploite| action_cmd_shell action_cmd_shell –>|utilise| action_syncappv %% AutoHotkey chain action_syncappv –>|exécute| tool_autohotkey tool_autohotkey –>|utilise| action_ahk_interpreter %% Injection chain action_ahk_interpreter –>|effectue| action_hollowing action_hollowing –>|injecte dans| process_dotnet %% Final Payload chain process_dotnet –>|héberge| malware_asyncrat malware_asyncrat –>|effectue| action_exfiltration "

Flux d’Attaque

Récit d’Attaque & Commandes : Un adversaire a obtenu un accès initial et se prépare à établir un canal de Commande et Contrôle (C2) persistant utilisant AsyncRAT. Pour éviter la détection par signature réseau, l’attaquant utilise la classe RijndaelManaged .NET pour chiffrer le trafic. L’attaquant exécute une commande one-liner PowerShell qui instancie le chiffreur, visant à encapsuler le signal de cœur de C2 dans une charge utile chiffrée. Cette commande est conçue pour déclencher la règle de détection spécifique basée sur des chaînes.

Script de Test de Régression:

# Simulation de l'instanciation de chiffrement de style AsyncRAT en PowerShell
# Cette commande est conçue pour correspondre à la chaîne 'RijndaelManaged.CreateEncryptor' dans la ligne de commande.
$code = "[System.Security.Cryptography.RijndaelManaged]::CreateEncryptor()"
powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "$encryptor = [System.Security.Cryptography.RijndaelManaged]::CreateEncryptor(); Write-Output 'Encryption engine initialized.'"

Commandes de Nettoyage :

# Aucun changement persistant effectué par le script de simulation ; cependant,
# vider l'historique PowerShell pour supprimer les traces de la commande.
Clear-History
Remove-Item (Get-PSReadlineOption).HistorySavePath -ErrorAction SilentlyContinue

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement