SOC Prime Bias: Crítica

21 Jan 2026 16:10 UTC

Operação Acesso Secreto: Spear-Phishing Baseado em LNK Alveja Setor Judicial da Argentina para Implantar um RAT Secreto

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Operação Acesso Secreto: Spear-Phishing Baseado em LNK Alveja Setor Judicial da Argentina para Implantar um RAT Secreto
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

A Seqrite identificou uma operação de spear-phishing que entrega um atalho LNK armado emparelhado com um carregador BAT malicioso. Uma vez executado, o carregador baixa um trojan de acesso remoto baseado em Rust de um repositório do GitHub, onde executa verificações anti-análise e estabelece um canal de comando e controle resiliente. A atividade é avaliada como direcionada a organizações judiciais da Argentina e a entidades governamentais adjacentes. Para aumentar a probabilidade de execução, os atacantes incluem conteúdo de PDF que parece legítimo no pacote de entrega.

Investigação

Analistas examinaram o arquivo ZIP contendo os arquivos LNK, BAT e PDF, em seguida reconstruíram a sequência de comandos do PowerShell usada para acionar o carregador BAT. Eles perfilaram a funcionalidade do RAT, incluindo verificações anti-VM/anti-sandbox, reconhecimento de host e identificação do sistema, configuração de persistência e tarefas criptografadas sobre o C2. Os comportamentos observados foram mapeados para técnicas relevantes do MITRE ATT&CK, com padrões notáveis como mascaramento, bypass de política de execução do PowerShell e lógica de C2 secundária/de fallback para manter a conectividade se os canais primários falharem.

Mitigação

Aplique governança estrita para execução de atalhos (LNK), particularmente de locais graváveis pelo usuário e arquivos comprimidos, e implemente políticas de execução do PowerShell fortalecidas com log centralizado. Restrinja ou faça proxy para o acesso de saída a repositórios GitHub não autorizados e alerte sobre padrões suspeitos de download e execução originados de interpretadores de scripts. Monitore a persistência através de chaves de registro Run ou tarefas agendadas com nomes anômalos ou recém-observados. Onde possível, implemente detecções que expõem comportamentos comuns anti-análise e garanta que usuários que manipulam PDFs operem sob privilégio mínimo para reduzir a abrangência do impacto de uma execução bem-sucedida.

Resposta

Dispare alertas quando o LNK armado for criado ou executado, e quando a cadeia de invocação do PowerShell associada for observada. Proativamente procure pelo artefato msedge_proxy.exe descartado e por qualquer entrada de persistência vinculada no registro ou no agendador de tarefas. Isole endpoints afetados, termine a árvore de processos maliciosos e remova quaisquer tarefas agendadas criadas e valores de chave Run. Complete uma revisão forense completa para validar o escopo, confirmar se dados foram preparados ou exfiltrados, e identificar quaisquer outros hosts expostos ao mesmo padrão de entrega ZIP/LNK.

Fluxo de Ataque

Simulação de Execução

Pré-requisito: O Check de Telemetria & Baseline Pre-flight deve ter sido aprovado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa do Ataque & Comandos:

    1. Comprometimento Inicial: O atacante envia um e-mail de spear-phishing com um atalho .lnk armado direcionado a um funcionário judicial. O atalho aponta para um comando PowerShell que é executado com -ExecutionPolicy Bypass e uma janela oculta para evitar suspeitas.

    2. Fluxo de Execução: Quando o usuário clica no atalho, o Windows executa o seguinte comando, que lança health-check.bat. O arquivo em lote contém a carga maliciosa real (por exemplo, um downloader PowerShell que busca um RAT).

       powershell.exe -ep bypass -w hidden -f health-check.bat
    3. Entrega da Carga: health-check.bat realiza um HTTP GET silencioso para um C2 malicioso, escreve a carga em %TEMP%, e a executa.

  • Script de Teste de Regressão: O script abaixo reproduz a telemetria exata criando health-check.bat com conteúdo inofensivo (para manter o teste seguro) e então invocando o comando PowerShell.

    # -------------------------------------------------
    # Script de Simulação – Execução de PowerShell Com LNK Armado
    # -------------------------------------------------
    # 1. Crie um dummy health-check.bat (inofensivo para teste)
    $batPath = "$env:TEMPhealth-check.bat"
    Set-Content -Path $batPath -Value '@echo off & echo Simulated payload executed' -Encoding ASCII
    
    # 2. Execute o PowerShell com os flags exatos e nome do script
    $psCommand = "powershell.exe -ep bypass -w hidden -f `"$batPath`""
    Write-Host "Executing: $psCommand"
    Start-Process -FilePath "powershell.exe" -ArgumentList "-ep", "bypass", "-w", "hidden", "-f", $batPath -NoNewWindow
    
    # 3. Aguarde alguns segundos para garantir que os logs sejam gerados
    Start-Sleep -Seconds 5
    # -------------------------------------------------
  • Comandos de Limpeza: Remova o arquivo de lote de teste e quaisquer processos remanescentes.

    # Limpe o dummy health-check.bat
    Remove-Item -Path "$env:TEMPhealth-check.bat" -ErrorAction SilentlyContinue
    
    # Garanta que não restem instâncias de PowerShell do teste
    Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Stop-Process -Force