SOC Prime Bias: Crítico

27 Mar 2026 13:57 UTC

Campanha Pawn Storm Desdobra PRISMEX, Alveja Governos e Infraestruturas Críticas

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Campanha Pawn Storm Desdobra PRISMEX, Alveja Governos e Infraestruturas Críticas
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Se a atividade PRISMEX for detectada, isole imediatamente os sistemas afetados, capture a memória volátil para extração de assemblies .NET na memória e procure as cargas úteis esteganográficas distintivas em PNG e as entradas de registro de sequestro de COM. Bloqueie todos os Filen.io subdomínios e o domínio wellnesscaremed.com e aplique detecção e bloqueio baseados em IOC para os nomes de arquivos identificados e tarefa agendada. domain, and apply IOC-based detection and blocking for the identified filenames and scheduled task.

Resposta

As organizações devem corrigir CVE-2026-21509 e CVE-2026-21513 sem demora, restringir o acesso a serviços de armazenamento em nuvem não aprovados e desabilitar o objeto COM Shell.Explorer.1 através do registro. Os defensores devem impor restrições de macro, monitorar o registro COM em HKCU\Software\Classes\CLSID, e revisar tarefas agendadas suspeitas como OneDriveHealth. O log ETW também deve ser habilitado para detectar carregamentos CLR inesperados dentro de explorer.exe.

Mitigação

Pesquisadores da TrendAI identificaram os componentes do conjunto de ferramentas PRISMEX — PrismexSheet, PrismexDrop, PrismexLoader e PrismexStager — e os conectaram à atividade anterior da Pawn Storm. Eles encontraram evidências de que os invasores prepararam a infraestrutura semanas antes das vulnerabilidades serem divulgadas publicamente e documentaram o uso de um domínio C2 compartilhado. domínio wellnesscaremed.com e aplique detecção e bloqueio baseados em IOC para os nomes de arquivos identificados e tarefa agendada.. A pesquisa também mapeou as técnicas MITRE ATT&CK usadas ao longo da cadeia de intrusão.

Investigação

Pawn Storm (APT28) lançou uma campanha centrada em um novo kit de malware chamado PRISMEX, visando a cadeia de suprimentos de defesa Ucraniana, bem como organizações governamentais e de logística aliadas. A operação explora duas falhas de zero-day recentemente divulgadas, CVE-2026-21509 e CVE-2026-21513, enquanto abusa de plataformas de nuvem legítimas para comando e controle. O conjunto de ferramentas inclui carregadores esteganográficos, sequestro de COM para persistência, e um stager Covenant Grunt hospedado em Filen.io. A detecção permanece desafiadora devido à execução sem arquivo e ao tráfego de rede criptografado.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check Pré-voo de Telemetria & Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e têm como objetivo gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa de Ataque & Comandos:

    1. O adversário obteve uma DLL maliciosa (evil.dll) colocada em um diretório gravável (e.g., C:Tempevil.dll).
    2. Para obter persistência, eles selecionam o CLSID {68DDBB56-9D1D-4FD9-89C5-C0DA2A625392} (um dos GUIDs acompanhados pela regra).
    3. Usando o reg.exe (ou PowerShell) embutido, eles definem o valor padrão do sub‑chave InProcServer32 para o caminho da DLL maliciosa, sequestrando assim qualquer ativação de COM daquele CLSID.
    4. A mudança no registro gera uma entrada EventID 13 com o TargetObject exato que corresponde à regra de detecção.
  • Script de Teste de Regressão:

    # -------------------------------------------------
    # Simulação de Persistência de Sequestro de COM do PrismexSheet
    # -------------------------------------------------
    $guid = '{68DDBB56-9D1D-4FD9-89C5-C0DA2A625392}'
    $dllPath = "C:Tempevil.dll"
    
    # Ensure the malicious DLL exists (placeholder for test)
    if (-not (Test-Path $dllPath)) {
        New-Item -Path $dllPath -ItemType File -Force | Out-Null
        Set-Content -Path $dllPath -Value "Malicious payload placeholder"
    }
    
    $regPath = "HKCU:SoftwareClassesCLSID$guidInProcServer32"
    
    # Create the key if it does not exist
    New-Item -Path $regPath -Force | Out-Null
    
    # Set the default value to point to the malicious DLL
    Set-ItemProperty -Path $regPath -Name '(Default)' -Value $dllPath
    
    Write-Host "COM hijack persisted at $regPath -> $dllPath"
  • Comandos de Limpeza:

    # Remove the malicious COM registration
    $guid = '{68DDBB56-9D1D-4FD9-89C5-C0DA2A625392}'
    $regPath = "HKCU:SoftwareClassesCLSID$guid"
    Remove-Item -Path $regPath -Recurse -Force
    
    # Delete the dummy DLL
    Remove-Item -Path "C:Tempevil.dll" -Force -ErrorAction SilentlyContinue
    
    Write-Host "Cleanup completed."