Operação Acesso Secreto: Spear-Phishing Baseado em LNK Alveja Setor Judicial da Argentina para Implantar um RAT Secreto
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A Seqrite identificou uma operação de spear-phishing que entrega um atalho LNK armado emparelhado com um carregador BAT malicioso. Uma vez executado, o carregador baixa um trojan de acesso remoto baseado em Rust de um repositório do GitHub, onde executa verificações anti-análise e estabelece um canal de comando e controle resiliente. A atividade é avaliada como direcionada a organizações judiciais da Argentina e a entidades governamentais adjacentes. Para aumentar a probabilidade de execução, os atacantes incluem conteúdo de PDF que parece legítimo no pacote de entrega.
Investigação
Analistas examinaram o arquivo ZIP contendo os arquivos LNK, BAT e PDF, em seguida reconstruíram a sequência de comandos do PowerShell usada para acionar o carregador BAT. Eles perfilaram a funcionalidade do RAT, incluindo verificações anti-VM/anti-sandbox, reconhecimento de host e identificação do sistema, configuração de persistência e tarefas criptografadas sobre o C2. Os comportamentos observados foram mapeados para técnicas relevantes do MITRE ATT&CK, com padrões notáveis como mascaramento, bypass de política de execução do PowerShell e lógica de C2 secundária/de fallback para manter a conectividade se os canais primários falharem.
Mitigação
Aplique governança estrita para execução de atalhos (LNK), particularmente de locais graváveis pelo usuário e arquivos comprimidos, e implemente políticas de execução do PowerShell fortalecidas com log centralizado. Restrinja ou faça proxy para o acesso de saída a repositórios GitHub não autorizados e alerte sobre padrões suspeitos de download e execução originados de interpretadores de scripts. Monitore a persistência através de chaves de registro Run ou tarefas agendadas com nomes anômalos ou recém-observados. Onde possível, implemente detecções que expõem comportamentos comuns anti-análise e garanta que usuários que manipulam PDFs operem sob privilégio mínimo para reduzir a abrangência do impacto de uma execução bem-sucedida.
Resposta
Dispare alertas quando o LNK armado for criado ou executado, e quando a cadeia de invocação do PowerShell associada for observada. Proativamente procure pelo artefato msedge_proxy.exe descartado e por qualquer entrada de persistência vinculada no registro ou no agendador de tarefas. Isole endpoints afetados, termine a árvore de processos maliciosos e remova quaisquer tarefas agendadas criadas e valores de chave Run. Complete uma revisão forense completa para validar o escopo, confirmar se dados foram preparados ou exfiltrados, e identificar quaisquer outros hosts expostos ao mesmo padrão de entrega ZIP/LNK.
Fluxo de Ataque
Detecções
Microsoft Edge Named Binary Executed Outside Program Files (via cmdline)
Ver
Verificações Anti-VM Suspeitas via Artefatos de Driver de Virtualização (via cmdline)
Ver
Binário do Windows Foi Baixado do Github (via proxy)
Ver
Possível Enumeração de Sistema (via cmdline)
Ver
IOCs (SourceIP) para detectar: Operação Acesso Secreto: Spear-Phishing Baseado em LNK Armado Alvejando o Setor Judicial da Argentina para Implantar um RAT Secreto
Ver
IOCs (DestinationIP) para detectar: Operação Acesso Secreto: Spear-Phishing Baseado em LNK Armado Alvejando o Setor Judicial da Argentina para Implantar um RAT Secreto
Ver
IOCs (HashMd5) para detectar: Operação Acesso Secreto: Spear-Phishing Baseado em LNK Armado Alvejando o Setor Judicial da Argentina para Implantar um RAT Secreto
Ver
Spear-Phishing Baseado em LNK Armado com Execução de PowerShell [Windows Powershell]
Ver
Detecção da Execução de msedge_proxy.exe [Criação de Processo do Windows]
Ver
Simulação de Execução
Pré-requisito: O Check de Telemetria & Baseline Pre-flight deve ter sido aprovado.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos:
-
Comprometimento Inicial: O atacante envia um e-mail de spear-phishing com um
atalho .lnkarmado direcionado a um funcionário judicial. O atalho aponta para um comando PowerShell que é executado com-ExecutionPolicy Bypasse uma janela oculta para evitar suspeitas. -
Fluxo de Execução: Quando o usuário clica no atalho, o Windows executa o seguinte comando, que lança
health-check.bat. O arquivo em lote contém a carga maliciosa real (por exemplo, um downloader PowerShell que busca um RAT).powershell.exe -ep bypass -w hidden -f health-check.bat -
Entrega da Carga:
health-check.batrealiza um HTTP GET silencioso para um C2 malicioso, escreve a carga em%TEMP%, e a executa.
-
-
Script de Teste de Regressão: O script abaixo reproduz a telemetria exata criando
health-check.batcom conteúdo inofensivo (para manter o teste seguro) e então invocando o comando PowerShell.# ------------------------------------------------- # Script de Simulação – Execução de PowerShell Com LNK Armado # ------------------------------------------------- # 1. Crie um dummy health-check.bat (inofensivo para teste) $batPath = "$env:TEMPhealth-check.bat" Set-Content -Path $batPath -Value '@echo off & echo Simulated payload executed' -Encoding ASCII # 2. Execute o PowerShell com os flags exatos e nome do script $psCommand = "powershell.exe -ep bypass -w hidden -f `"$batPath`"" Write-Host "Executing: $psCommand" Start-Process -FilePath "powershell.exe" -ArgumentList "-ep", "bypass", "-w", "hidden", "-f", $batPath -NoNewWindow # 3. Aguarde alguns segundos para garantir que os logs sejam gerados Start-Sleep -Seconds 5 # ------------------------------------------------- -
Comandos de Limpeza: Remova o arquivo de lote de teste e quaisquer processos remanescentes.
# Limpe o dummy health-check.bat Remove-Item -Path "$env:TEMPhealth-check.bat" -ErrorAction SilentlyContinue # Garanta que não restem instâncias de PowerShell do teste Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Stop-Process -Force