Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A Seqrite identificou uma operação de spear-phishing que entrega um atalho LNK armado emparelhado com um carregador BAT malicioso. Uma vez executado, o carregador baixa um trojan de acesso remoto baseado em Rust de um repositório do GitHub, onde executa verificações anti-análise e estabelece um canal de comando e controle resiliente. A atividade é avaliada como direcionada a organizações judiciais da Argentina e a entidades governamentais adjacentes. Para aumentar a probabilidade de execução, os atacantes incluem conteúdo de PDF que parece legítimo no pacote de entrega.
Investigação
Analistas examinaram o arquivo ZIP contendo os arquivos LNK, BAT e PDF, em seguida reconstruíram a sequência de comandos do PowerShell usada para acionar o carregador BAT. Eles perfilaram a funcionalidade do RAT, incluindo verificações anti-VM/anti-sandbox, reconhecimento de host e identificação do sistema, configuração de persistência e tarefas criptografadas sobre o C2. Os comportamentos observados foram mapeados para técnicas relevantes do MITRE ATT&CK, com padrões notáveis como mascaramento, bypass de política de execução do PowerShell e lógica de C2 secundária/de fallback para manter a conectividade se os canais primários falharem.
Mitigação
Aplique governança estrita para execução de atalhos (LNK), particularmente de locais graváveis pelo usuário e arquivos comprimidos, e implemente políticas de execução do PowerShell fortalecidas com log centralizado. Restrinja ou faça proxy para o acesso de saída a repositórios GitHub não autorizados e alerte sobre padrões suspeitos de download e execução originados de interpretadores de scripts. Monitore a persistência através de chaves de registro Run ou tarefas agendadas com nomes anômalos ou recém-observados. Onde possível, implemente detecções que expõem comportamentos comuns anti-análise e garanta que usuários que manipulam PDFs operem sob privilégio mínimo para reduzir a abrangência do impacto de uma execução bem-sucedida.
Resposta
Dispare alertas quando o LNK armado for criado ou executado, e quando a cadeia de invocação do PowerShell associada for observada. Proativamente procure pelo artefato msedge_proxy.exe descartado e por qualquer entrada de persistência vinculada no registro ou no agendador de tarefas. Isole endpoints afetados, termine a árvore de processos maliciosos e remova quaisquer tarefas agendadas criadas e valores de chave Run. Complete uma revisão forense completa para validar o escopo, confirmar se dados foram preparados ou exfiltrados, e identificar quaisquer outros hosts expostos ao mesmo padrão de entrega ZIP/LNK.
“graph TB %% Class definitions classDef action fill:#99ccff classDef artifact fill:#cccccc classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef operator fill:#ff9900 %% Nodes artifact_email_zip[“<b>Artifact</b> – ZIP de Email Malicioso<br/><b>Conteúdo</b>: Contém arquivo LNK e PDF de disfarce.”] class artifact_email_zip artifact artifact_lnk[“<b>Artifact</b> – Arquivo LNK (info/juicio-grunt-posting.pdf.lnk)<br/><b>Técnica</b>: T1027.012 Disfarce de Ícone”] class artifact_lnk artifact attack_initial_access[“<b>Ação</b> – T1566.001 Spearphishing com Anexo<br/><b>Descrição</b>: Entrega de ZIP malicioso via email.”] class attack_initial_access action attack_user_execution[“<b>Ação</b> – T1204.002 Execução de Arquivo Malicioso<br/><b>Descrição</b>: Usuário clica no LNK disfarçado de PDF.”] class attack_user_execution action defense_evasion_icon[“<b>Ação</b> – T1027.012 Disfarce de Ícone LNK<br/><b>Descrição</b>: LNK usa ícone de PDF para se disfarçar.”] class defense_evasion_icon action execution_powershell[“<b>Ação</b> – T1059.001 PowerShell & T1059.003 Shell de Comando do Windows<br/><b>Descrição</b>: LNK lança PowerShell com bypass e janela oculta, executando um carregador BAT.”] class execution_powershell action defense_evasion_obfusc[“<b>Ação</b> – T1027 Comandos Ofuscados/Encodificados<br/><b>Descrição</b>: Comando do PowerShell e mensagens C2 são codificados em Base64u2011.”] class defense_evasion_obfusc action artifact_bat[“<b>Artifact</b> – health-check.bat<br/><b>Finalidade</b>: Baixa e salva msedge_proxy.exe.”] class artifact_bat artifact malware_rust_rat[“<b>Malware</b> – msedge_proxy.exe (Rust RAT)<br/><b>Técnicas</b>: T1497.001 Evasão de Virtualização/Sandbox, T1622 Evasão de Depurador, T1547.001 Chaves de Execução em Registro, T1053.005 Tarefa Agendada”] class malware_rust_rat malware defense_evasion_sandbox[“<b>Ação</b> – T1497.001 Evasão de Virtualização/Sandbox & T1622 Evasão de Depurador<br/><b>Descrição</b>: Verifica registro, drivers, prefixos MAC, pastas sandbox, presença de depurador.”] class defense_evasion_sandbox action persistence_registry[“<b>Ação</b> – T1547.001 Chaves de Execução em Registro / Pasta de Inicialização<br/><b>Descrição</b>: Cria entradas HKCU Run para persistência.”] class persistence_registry action persistence_task[“<b>Ação</b> – T1053.005 Tarefa Agendada<br/><b>Descrição</b>: Registra uma tarefa agendada via schtasks com execução atrasada.”] class persistence_task action discovery_system[“<b>Ação</b> – T1082 Descoberta de Informações do Sistema<br/><b>Descrição</b>: Coleta nome do host, nome de usuário, versão do OS, nível de privilégio.”] class discovery_system action discovery_process[“<b>Ação</b> – T1057 Descoberta de Processos<br/><b>Descrição</b>: Executa tasklist para detectar ferramentas de análise e processos de VM.”] class discovery_process action collection_local[“<b>Ação</b> – T1005 Dados do Sistema Local<br/><b>Descrição</b>: Coleta arquivos para exfiltração.”] class collection_local action c2_app_layer[“<b>Ação</b> – T1071 Protocolo de Camada de Aplicação & T1573 Canal Criptografado<br/><b>Descrição</b>: Comunica-se com o servidor C2 sobre HTTP(S) usando cargas criptografadas.”] class c2_app_layer action c2_encoding[“<b>Ação</b> – T1132.001 Codificação de Dados (Base64)<br/><b>Descrição</b>: Todos os comandos C2 são codificados em Base64u2011.”] class c2_encoding action exfiltration[“<b>Ação</b> – T1041 Exfiltração Via Canal C2<br/><b>Descrição</b>: Envia dados coletados pelo mesmo canal C2.”] class exfiltration action %% Flow connections artifact_email_zip u002du002d>|contém| artifact_lnk artifact_email_zip u002du002d>|entrega| attack_initial_access attack_initial_access u002du002d>|leva a| attack_user_execution attack_user_execution u002du002d>|aciona| defense_evasion_icon defense_evasion_icon u002du002d>|leva a| execution_powershell execution_powershell u002du002d>|executa| artifact_bat artifact_bat u002du002d>|baixa| malware_rust_rat malware_rust_rat u002du002d>|executa| defense_evasion_sandbox defense_evasion_sandbox u002du002d>|estabelece| persistence_registry persistence_registry u002du002d>|adiciona| persistence_task persistence_task u002du002d>|ativa| discovery_system discovery_system u002du002d>|alimenta| discovery_process discovery_process u002du002d>|coleta| collection_local collection_local u002du002d>|envia para| c2_app_layer c2_app_layer u002du002d>|usa| c2_encoding c2_encoding u002du002d>|transporta| exfiltration %% Apply classes class artifact_email_zip,artifact_lnk,artifact_bat artifact class attack_initial_access,attack_user_execution,defense_evasion_icon,execution_powershell,defense_evasion_obfusc,defense_evasion_sandbox,persistence_registry,persistence_task,discovery_system,discovery_process,collection_local,c2_app_layer,c2_encoding,exfiltration action class malware_rust_rat malware “
Fluxo de Ataque
Detecções
Microsoft Edge Named Binary Executed Outside Program Files (via cmdline)
Ver
Verificações Anti-VM Suspeitas via Artefatos de Driver de Virtualização (via cmdline)
Ver
Binário do Windows Foi Baixado do Github (via proxy)
Ver
Possível Enumeração de Sistema (via cmdline)
Ver
IOCs (SourceIP) para detectar: Operação Acesso Secreto: Spear-Phishing Baseado em LNK Armado Alvejando o Setor Judicial da Argentina para Implantar um RAT Secreto
Ver
IOCs (DestinationIP) para detectar: Operação Acesso Secreto: Spear-Phishing Baseado em LNK Armado Alvejando o Setor Judicial da Argentina para Implantar um RAT Secreto
Ver
IOCs (HashMd5) para detectar: Operação Acesso Secreto: Spear-Phishing Baseado em LNK Armado Alvejando o Setor Judicial da Argentina para Implantar um RAT Secreto
Ver
Spear-Phishing Baseado em LNK Armado com Execução de PowerShell [Windows Powershell]
Ver
Detecção da Execução de msedge_proxy.exe [Criação de Processo do Windows]
Ver
Simulação de Execução
Pré-requisito: O Check de Telemetria & Baseline Pre-flight deve ter sido aprovado.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos:
-
Comprometimento Inicial: O atacante envia um e-mail de spear-phishing com um
atalho .lnkarmado direcionado a um funcionário judicial. O atalho aponta para um comando PowerShell que é executado com-ExecutionPolicy Bypasse uma janela oculta para evitar suspeitas. -
Fluxo de Execução: Quando o usuário clica no atalho, o Windows executa o seguinte comando, que lança
health-check.bat. O arquivo em lote contém a carga maliciosa real (por exemplo, um downloader PowerShell que busca um RAT).powershell.exe -ep bypass -w hidden -f health-check.bat -
Entrega da Carga:
health-check.batrealiza um HTTP GET silencioso para um C2 malicioso, escreve a carga em%TEMP%, e a executa.
-
-
Script de Teste de Regressão: O script abaixo reproduz a telemetria exata criando
health-check.batcom conteúdo inofensivo (para manter o teste seguro) e então invocando o comando PowerShell.# ------------------------------------------------- # Script de Simulação – Execução de PowerShell Com LNK Armado # ------------------------------------------------- # 1. Crie um dummy health-check.bat (inofensivo para teste) $batPath = "$env:TEMPhealth-check.bat" Set-Content -Path $batPath -Value '@echo off & echo Simulated payload executed' -Encoding ASCII # 2. Execute o PowerShell com os flags exatos e nome do script $psCommand = "powershell.exe -ep bypass -w hidden -f `"$batPath`"" Write-Host "Executing: $psCommand" Start-Process -FilePath "powershell.exe" -ArgumentList "-ep", "bypass", "-w", "hidden", "-f", $batPath -NoNewWindow # 3. Aguarde alguns segundos para garantir que os logs sejam gerados Start-Sleep -Seconds 5 # ------------------------------------------------- -
Comandos de Limpeza: Remova o arquivo de lote de teste e quaisquer processos remanescentes.
# Limpe o dummy health-check.bat Remove-Item -Path "$env:TEMPhealth-check.bat" -ErrorAction SilentlyContinue # Garanta que não restem instâncias de PowerShell do teste Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Stop-Process -Force