Seguir ![[Relatório de Op] De SSA Phish para AdaptixC2: Uma Intrusão Multi-RAT](https://socprime.com/wp-content/uploads/Image_bg.png)
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um ator de ameaça realizou uma intrusão em camadas envolvendo commodities, começando com um e-mail de phishing temático sobre a Administração de Segurança Social dos EUA. A operação dependia do AdaptixC2 como estrutura principal de comando e controle, utilizava o XWorm como canal de acesso secundário e para exfiltração baseada no Telegram, e implantava o ScreenConnect para suportar atividade manual. A campanha também demonstrou forte disciplina operacional através do uso de enganação de nome de arquivo RTLO e múltiplos caminhos de persistência concebidos para sobreviver a uma remediação parcial.
Investigação
A investigação ocorreu em um ambiente Deception.Pro usando uma estação de trabalho de enganação. Como a inspeção TLS estava habilitada, os pesquisadores conseguiram recuperar tráfego de beacon em texto claro, URLs de download de payloads e apertos de mão ScreenConnect. Essa visibilidade possibilitou atribuir a intrusão a estruturas específicas com alta confiança, em vez de depender apenas de suposições comportamentais ou baseadas em impressões digitais.
Mitigação
As organizações devem reduzir o risco habilitando a inspeção TLS para tráfego de comando e controle criptografado e implantando EDR capaz de detectar certutil-estágios baseados e execução suspeita do PowerShell. A visibilidade das extensões de arquivo deve ser reforçada para enfraquecer truques de nome de arquivo baseados em RTLO, e os registros de Run-key no registro em locais públicos ou graváveis pelo usuário devem ser monitorados de perto. As equipes devem também inventariar e alertar sobre ferramentas de gerenciamento remoto não autorizadas, como ScreenConnect, especialmente quando instalado através de msiexec.
Resposta
Se esta atividade for detectada, isole imediatamente os pontos de extremidade afetados para cortar o tráfego de comando e controle e prevenir movimentos laterais adicionais através de enumeração SAMR ou LSAD. Execute uma varredura forense completa para DLLs XWorm e artefatos AdaptixC2 em pastas públicas e outros caminhos de estágio comuns. Os investigadores também devem revisar padrões de exfiltração relacionados ao Telegram e auditar chaves de persistência no registro que imitam nomes de atualizadores legítimos.
graph TB %% Seção de definições de classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef discovery fill:#ccffcc %% Definição dos nós %% Acesso inicial e execução action_phishing[“<b>Ação</b> – <b>T1566.002 Phishing: Link de Spearphishing</b><br/>A vítima recebe um e-mail falsificado supostamente da SSA,<br/>contendo um link para um arquivo RAR.”] class action_phishing action action_masquerade[“<b>Ação</b> – <b>T1036.008 Mascaramento: Mascarar Tipo de Arquivo</b><br/>O invasor utiliza a técnica RTLO para disfarçar um executável PE32<br/>como um arquivo PDF (.fdp.exe).”] class action_masquerade action action_user_exec[“<b>Ação</b> – <b>T1204.002 Execução pelo Usuário: Arquivo Malicioso</b><br/>O usuário interage com o<br/>arquivo malicioso disfarçado.”] class action_user_exec action %% Transferência de ferramentas e persistência tool_certutil[“<b>Ferramenta</b> – <b>Nome: certutil.exe</b><br/><b>Descrição:</b> Utilitário nativo do Windows utilizado para<br/>baixar a carga útil do AdaptixC2.”] class tool_certutil tool action_ingress[“<b>Ação</b> – <b>T1105 Transferência de Ferramentas para o Sistema</b><br/>A carga útil é baixada de<br/>cloudpre-005[.]online.”] class action_ingress action action_persistence[“<b>Ação</b> – <b>T1547.001 Execução Automática na Inicialização ou Logon:<br/>Chaves Run do Registro / Pasta Inicializar</b><br/>Cria chaves de registro como PayloadService,<br/>JavaUpdater e Updater em C:\Users\Public\.”] class action_persistence action %% C2 e acesso remoto malware_adaptix[“<b>Malware</b> – <b>Nome: AdaptixC2</b><br/><b>Descrição:</b> Agente de beacon utilizado para<br/>operações de Comando e Controle (C2).”] class malware_adaptix malware action_c2_web[“<b>Ação</b> – <b>T1071.001 Protocolo de Camada de Aplicação:<br/>Protocolos Web</b><br/>O AdaptixC2 comunica-se por beaconing<br/>com URLs web específicas.”] class action_c2_web action tool_screenconnect[“<b>Ferramenta</b> – <b>Nome: ScreenConnect</b><br/><b>Descrição:</b> Ferramenta de acesso remoto implantada<br/>para controle interativo.”] class tool_screenconnect tool action_remote_access[“<b>Ação</b> – <b>T1219 Ferramentas de Acesso Remoto</b><br/>Implantação de dois clientes independentes<br/>para manter acesso interativo.”] class action_remote_access action %% Exfiltração e descoberta malware_xworm[“<b>Malware</b> – <b>Nome: XWorm</b><br/><b>Descrição:</b> Malware utilizado para retransmitir<br/>dados roubados via Telegram.”] class malware_xworm malware action_exfil[“<b>Ação</b> – <b>T1567 Exfiltração por Serviço Web</b><br/>Os dados são exfiltrados utilizando a<br/>API do Telegram Bot.”] class action_exfil action action_discovery[“<b>Ação</b> – <b>T1069.002 Descoberta de Grupos de Permissão:<br/>Grupos de Domínio</b><br/>Enumeração do ambiente de domínio por meio de<br/>SAMR e LSAD RPC.”] class action_discovery discovery %% Conexões action_phishing –>|leva_a| action_masquerade action_masquerade –>|leva_a| action_user_exec action_user_exec –>|aciona| tool_certutil tool_certutil –>|executa| action_ingress action_ingress –>|instala| malware_adaptix malware_adaptix –>|estabelece| action_persistence malware_adaptix –>|utiliza| action_c2_web action_remote_access –>|utiliza| tool_screenconnect malware_adaptix –>|implanta| action_remote_access malware_adaptix –>|opera| malware_xworm malware_xworm –>|realiza| action_exfil malware_adaptix –>|realiza| action_discovery
Fluxo de Ataque
Detecções
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via registry_event)
Ver
Utilizando Certutil para Codificação de Dados e Operações Cert (via cmdline)
Ver
Execução Suspeita do Perfil de Usuário Público (via process_creation)
Ver
Software Alternativo de Acesso/ Gerenciamento Remoto (via process_creation)
Ver
Um Arquivo Foi Extraído para Diretório Suspeito Usando Powershell (via powershell)
Ver
Arquivos Suspeitos no Perfil de Usuário Público (via file_event)
Ver
Tentativa de Comunicações de Domínio de Pesquisa de IP Possível (via dns)
Ver
Possível Serviço de DNS Dinâmico Foi Contatado (via dns)
Ver
IOCs (HashSha256) para detectar: [Op Report] From SSA Phish to AdaptixC2: Uma Intrusão Multi-RAT
Ver
IOCs (HashMd5) para detectar: [Op Report] From SSA Phish to AdaptixC2: Uma Intrusão Multi-RAT
Ver
IOCs (SourceIP) para detectar: [Op Report] From SSA Phish to AdaptixC2: Uma Intrusão Multi-RAT
Ver
IOCs (DestinationIP) para detectar: [Op Report] From SSA Phish to AdaptixC2: Uma Intrusão Multi-RAT
Ver
Detecção de Comunicação de Comando e Controle do AdaptixC2 [Conexão de Rede do Windows]
Ver
Detectar Implantação do AdaptixC2 e ScreenConnect via Certutil e Msiexec [Criação de Processo do Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação de Telemetria & Base de Referência Pré-voo deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e têm como objetivo gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos: O adversário conseguiu estabelecer um ponto de apoio na máquina alvo através de um link de spearphishing. Para manter o controle e receber instruções, o agente AdaptixC2 tenta “conferir” com seu servidor de comando e controle. O agente é programado para acessar um URI codificado (
98.81.111.167/updates/check.php) ou um IP de fallback (23.20.229.225) via porta 443. Ao simular essas tentativas de conexão exatas, validamos se a regra de detecção de firewall/rede identifica corretamente esses padrões conhecidos de malícia. -
Script de Teste de Regressão: Este script usa PowerShell para simular duas tentativas distintas de conexão: uma direcionada ao URL específico e outra ao endereço IP específico.
# Simulação de Comunicação C2 AdaptixC2 Write-Host "[+] Iniciando Simulação AdaptixC2..." -ForegroundColor Cyan # Cenário 1: Conexão ao padrão específico de URL malicioso Write-Host "[+] Tentando conexão para URL malicioso: 98.81.111.167/updates/check.php" -ForegroundColor Yellow try { # Usamos -ErrorAction SilentlyContinue porque o IP provavelmente não resolverá ou responderá, # mas a tentativa de conexão em si gerará a telemetria. Invoke-WebRequest -Uri "http://98.81.111.167/updates/check.php" -Method Get -ErrorAction SilentlyContinue } catch { Write-Host "[!] Conexão falhou (esperado), mas a telemetria deve ser gerada." -ForegroundColor Gray } # Cenário 2: Conexão ao IP malicioso específico na porta 443 Write-Host "[+] Tentando conexão para IP malicioso: 23.20.229.225 na porta 443" -ForegroundColor Yellow try { $tcpClient = New-Object System.Net.Sockets.TcpClient $connection = $tcpClient.BeginConnect("23.20.229.225", 443, $null, $null) $success = $connection.AsyncWaitHandle.WaitOne(5000, $false) if ($success) { Write-Host "[+] Conexão bem-sucedida (improvável em teste real)." -ForegroundColor Green } else { Write-Host "[!] Conexão expirou (esperado), mas a telemetria deve ser gerada." -ForegroundColor Gray } $tcpClient.Close() } catch { Write-Host "[!] Erro durante a tentativa de conexão TCP." -ForegroundColor Red } Write-Host "[+] Simulação Completa." -ForegroundColor Cyan -
Comandos de Limpeza:
# Nenhum artefato persistente é criado por esta simulação, pois só gera tráfego de rede. Write-Host "[+] Nenhuma limpeza necessária. As conexões de rede foram transitórias." -ForegroundColor Green