Entrega do AsyncRAT em Campanhas de Ameaças com Temática de IA
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Atores de ameaça estão aproveitando iscas com tema de IA para distribuir uma cadeia de infecção de malware em múltiplas etapas. O ataque combina scripts em etapas, loaders baseados em AutoHotkey e hollowing de processo para implantar tanto um trojan de acesso remoto .NET quanto o AsyncRAT. Um aspecto notável da campanha é o aparente uso de desenvolvimento assistido por IA, refletido nos nomes de variáveis em Chinês Simplificado e comentários de código embutidos em todo o malware.
Investigação
Os laboratórios da FortiGuard examinaram uma sequência complexa de intrusão que começou com um arquivo ZIP malicioso contendo um arquivo LNK. Sua análise revelou várias etapas de extração de carga de um contêiner baseado em PDF, seguido por injeção reflexiva impulsionada por AutoHotkey e implantação final de um RAT modular .NET junto com o AsyncRAT. Os pesquisadores também documentaram métodos distintos de ofuscação, incluindo abstração semântica em idioma chinês e lógica de desencriptação personalizada projetada para ocultar o comportamento do malware.
Mitigação
Os usuários devem ser especialmente cautelosos com arquivos LNK, arquivos compactados e documentos recebidos de fontes não confiáveis ou inesperadas. As organizações devem revisar entradas de inicialização, tarefas agendadas e locais de registro em busca de alterações não autorizadas. Monitorar atividades suspeitas do PowerShell e conexões de rede de saída incomuns também é essencial para identificar os estágios iniciais do comprometimento.
Resposta
Se esta atividade for detectada, os respondedores devem realizar uma revisão forense dos %LOCALAPPDATA% and %APPDATA% diretórios para identificar scripts soltos e artefatos relacionados. O Agendador de Tarefas deve ser verificado em busca de tarefas suspeitas, como CheckRealtekAudioVersion or ResetRealtekAudioSettings64. Sistemas afetados devem ser isolados imediatamente para impedir mais comunicação com os domínios e endereços IP maliciosos identificados.
Fluxo de Ataque
Detecções
A Possibilidade de Execução Através de Linhas de Comando PowerShell Ocultas (via cmdline)
Visualizar
Possível Tentativa de Execução de Script AutoHotkey (via cmdline)
Visualizar
LOLBAS WScript / CScript (via process_creation)
Visualizar
Strings Suspeitas do PowerShell (via powershell)
Visualizar
Chamar Métodos .NET Suspeitos a partir do PowerShell (via powershell)
Visualizar
Indicadores Possíveis de Ofuscação do PowerShell (via powershell)
Visualizar
IOCs (HashSha256) para detectar: Atores de Ameaça Armam Hype de IA para Entregar AsyncRAT
Visualizar
IOCs (SourceIP) para detectar: Atores de Ameaça Armam Hype de IA para Entregar AsyncRAT
Visualizar
IOCs (DestinationIP) para detectar: Atores de Ameaça Armam Hype de IA para Entregar AsyncRAT
Visualizar
Comando e Controle de AsyncRAT Usando Criptografia RijndaelManaged [Windows Sysmon]
Visualizar
Detecção de Comunicação de Domínio C2 do AsyncRAT [Conexão de Rede Windows]
Visualizar
Execução Suspeita de PowerShell com Janelas Ocultas e Bypass de Segurança [Windows PowerShell]
Visualizar
Detectar Process Hollowing via Criação de Processo Suspeita [Criação de Processo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Check de Pre-flight de Telemetria e Base foi aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos: Um adversário ganhou acesso inicial e está se preparando para estabelecer um canal de Comando e Controle (C2) persistente usando AsyncRAT. Para evitar a detecção de assinatura baseada em rede, o atacante utiliza a classe
RijndaelManaged.NET para criptografar o tráfego. O atacante executa uma linha de comando PowerShell que instancia o criptografador, pretendendo encapsular o C2 heartbeat em uma carga útil criptografada. Este comando é projetado para acionar a regra de detecção baseada em string específica. -
Script de Teste de Regressão:
# Simulação de instanciação de criptografia estilo AsyncRAT no PowerShell # Este comando é projetado para corresponder à string 'RijndaelManaged.CreateEncryptor' na linha de comando. $code = "[System.Security.Cryptography.RijndaelManaged]::CreateEncryptor()" powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "$encryptor = [System.Security.Cryptography.RijndaelManaged]::CreateEncryptor(); Write-Output 'Encryption engine initialized.'" -
Comandos de Limpeza:
# Nenhuma alteração persistente feita pelo script de simulação; no entanto, # limpar o histórico do PowerShell para remover traços do comando. Clear-History Remove-Item (Get-PSReadlineOption).HistorySavePath -ErrorAction SilentlyContinue