Campanha Pawn Storm Desdobra PRISMEX, Alveja Governos e Infraestruturas Críticas
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Se a atividade PRISMEX for detectada, isole imediatamente os sistemas afetados, capture a memória volátil para extração de assemblies .NET na memória e procure as cargas úteis esteganográficas distintivas em PNG e as entradas de registro de sequestro de COM. Bloqueie todos os Filen.io subdomínios e o domínio wellnesscaremed.com e aplique detecção e bloqueio baseados em IOC para os nomes de arquivos identificados e tarefa agendada. domain, and apply IOC-based detection and blocking for the identified filenames and scheduled task.
Resposta
As organizações devem corrigir CVE-2026-21509 e CVE-2026-21513 sem demora, restringir o acesso a serviços de armazenamento em nuvem não aprovados e desabilitar o objeto COM Shell.Explorer.1 através do registro. Os defensores devem impor restrições de macro, monitorar o registro COM em HKCU\Software\Classes\CLSID, e revisar tarefas agendadas suspeitas como OneDriveHealth. O log ETW também deve ser habilitado para detectar carregamentos CLR inesperados dentro de explorer.exe.
Mitigação
Pesquisadores da TrendAI identificaram os componentes do conjunto de ferramentas PRISMEX — PrismexSheet, PrismexDrop, PrismexLoader e PrismexStager — e os conectaram à atividade anterior da Pawn Storm. Eles encontraram evidências de que os invasores prepararam a infraestrutura semanas antes das vulnerabilidades serem divulgadas publicamente e documentaram o uso de um domínio C2 compartilhado. domínio wellnesscaremed.com e aplique detecção e bloqueio baseados em IOC para os nomes de arquivos identificados e tarefa agendada.. A pesquisa também mapeou as técnicas MITRE ATT&CK usadas ao longo da cadeia de intrusão.
Investigação
Pawn Storm (APT28) lançou uma campanha centrada em um novo kit de malware chamado PRISMEX, visando a cadeia de suprimentos de defesa Ucraniana, bem como organizações governamentais e de logística aliadas. A operação explora duas falhas de zero-day recentemente divulgadas, CVE-2026-21509 e CVE-2026-21513, enquanto abusa de plataformas de nuvem legítimas para comando e controle. O conjunto de ferramentas inclui carregadores esteganográficos, sequestro de COM para persistência, e um stager Covenant Grunt hospedado em Filen.io. A detecção permanece desafiadora devido à execução sem arquivo e ao tráfego de rede criptografado.
Fluxo de Ataque
Detecções
Binário Suspeito / Scripts em Local de Inicialização Automática (via evento_arquivo)
Visualizar
Possível Infiltração / Exfiltração de Dados / C2 via Serviços / Ferramentas de Terceiros (via dns)
Visualizar
Possível Infiltração / Exfiltração de Dados / C2 via Serviços / Ferramentas de Terceiros (via proxy)
Visualizar
Possível Sequestro de COM do Explorer (via evento_registro)
Visualizar
Possível Persistência Baseada no Outlook (via evento_arquivo)
Visualizar
Possível Sequestro de COM do Explorer (via evento_arquivo)
Visualizar
IOCs (HashSha256) para detectar: Pawn Storm Campaign Implanta PRISMEX, Alveja Entidades Governamentais e de Infraestrutura Crítica
Visualizar
Detectar Inicialização CLR Incomum no Processo do Explorer [Criação de Processo do Windows]
Visualizar
Persistência de Sequestro de COM do PrismexSheet [Evento de Registro do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Check Pré-voo de Telemetria & Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e têm como objetivo gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa de Ataque & Comandos:
- O adversário obteve uma DLL maliciosa (
evil.dll) colocada em um diretório gravável (e.g.,C:Tempevil.dll). - Para obter persistência, eles selecionam o CLSID
{68DDBB56-9D1D-4FD9-89C5-C0DA2A625392}(um dos GUIDs acompanhados pela regra). - Usando o
reg.exe(ou PowerShell) embutido, eles definem o valor padrão do sub‑chaveInProcServer32para o caminho da DLL maliciosa, sequestrando assim qualquer ativação de COM daquele CLSID. - A mudança no registro gera uma entrada EventID 13 com o
TargetObjectexato que corresponde à regra de detecção.
- O adversário obteve uma DLL maliciosa (
-
Script de Teste de Regressão:
# ------------------------------------------------- # Simulação de Persistência de Sequestro de COM do PrismexSheet # ------------------------------------------------- $guid = '{68DDBB56-9D1D-4FD9-89C5-C0DA2A625392}' $dllPath = "C:Tempevil.dll" # Ensure the malicious DLL exists (placeholder for test) if (-not (Test-Path $dllPath)) { New-Item -Path $dllPath -ItemType File -Force | Out-Null Set-Content -Path $dllPath -Value "Malicious payload placeholder" } $regPath = "HKCU:SoftwareClassesCLSID$guidInProcServer32" # Create the key if it does not exist New-Item -Path $regPath -Force | Out-Null # Set the default value to point to the malicious DLL Set-ItemProperty -Path $regPath -Name '(Default)' -Value $dllPath Write-Host "COM hijack persisted at $regPath -> $dllPath" -
Comandos de Limpeza:
# Remove the malicious COM registration $guid = '{68DDBB56-9D1D-4FD9-89C5-C0DA2A625392}' $regPath = "HKCU:SoftwareClassesCLSID$guid" Remove-Item -Path $regPath -Recurse -Force # Delete the dummy DLL Remove-Item -Path "C:Tempevil.dll" -Force -ErrorAction SilentlyContinue Write-Host "Cleanup completed."