Raposa Prateada Mira Índia com Iscas de Phishing Temáticas de Impostos
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um grupo APT chinês chamado Silver Fox conduz uma campanha de phishing com tema fiscal contra entidades indianas. O e-mail inicial contém um PDF que direciona as vítimas para um domínio malicioso e aciona o download de um arquivo ZIP. O ZIP contém um instalador NSIS que solta Thunder.exe e um libexpat.dll malicioso que executa sequestro de DLL, verifica anti-análise e carrega shellcode criptografado. A carga final é um Valley RAT que recebe configuração de uma infraestrutura multi-nível de C2.
Investigação
O relatório detalha quatro estágios: (1) entrega de um ZIP via um PDF atrativo, (2) execução de um instalador NSIS que solta Thunder.exe e libexpat.dll, (3) um carregador de shellcode gerado por Donut que injeta em explorer.exe, e (4) implantação de Valley RAT com persistência baseada em registro e plugins modulares. A análise inclui exame estático e dinâmico dos binários, enumeração de domínios C2, e mapeamento para técnicas ATT&CK.
Mitigação
Os defensores devem monitorar binários assinados carregando DLLs não assinadas de locais temporários, gravações de registro sob HKCUConsole e a criação anormal de memória PAGE_EXECUTE_READWRITE em explorer.exe. Bloquear domínios e IPs C2 conhecidos e detectar comportamento de fallback multi-nível reduzirá a exposição. Implementar controle de aplicação rigoroso e detecção de evasão de sandbox para impedir o instalador NSIS inicial.
Resposta
Quando um indicador é observado, isolar o host afetado, coletar memória volátil para análise de injeção de processo e buscar chaves de registro e plugins do Valley RAT. Bloquear toda a infraestrutura C2 identificada e redefinir credenciais comprometidas. Conduzir uma revisão forense completa para identificar quaisquer plugins adicionais ou ferramentas de movimento lateral.
Fluxo de ataque
Detecções
Pontos Possíveis de Persistência [ASEPs – Software/NTUSER Hive] (via registry_event)
Visualizar
Comando e Controle Suspeito por Solicitação DNS de Domínio de Topo Incomum (TLD) (via DNS)
Visualizar
Processo Suspeito sem Argumentos (via linha de comando)
Visualizar
IOCs (SourceIP) para detectar: Silver Fox Alvejando Índia Usando Lures de Phishing com Tema Fiscal
Visualizar
IOCs (HashSha256) para detectar: Silver Fox Alvejando Índia Usando Lures de Phishing com Tema Fiscal
Visualizar
IOCs (DestinationIP) para detectar: Silver Fox Alvejando Índia Usando Lures de Phishing com Tema Fiscal
Visualizar
Detecção de Sequestro de DLL via Thunder.exe e Injeção de Processo em Explorer.exe [Criação de Processo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Cheque Pré-voo de Telemetria e Linha de Base deve ter passado.
Fundamento: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa e Comandos do Ataque:
Um adversário entrega uma DLL maliciosa junto com um “Thunder.exe” solto para a%TEMP%diretório da vítima. Para evitar suspeitas do usuário, o payload é lançado através do já em execuçãoexplorer.exeprocesso usando o WindowsShellExecuteAPI, o que resulta em um evento de criação de processo ondeexplorer.exeaparece como pai. OThunder.exemalicioso subsequente carrega a DLL (sequestro de DLL) e injeta shellcode noexplorer.exeprocesso (injeção de processo), alcançando execução de código com o token do usuário. -
Script de Teste de Regressão:
# ------------------------------------------------- # Script de regressão para acionar a detecção Sigma # ------------------------------------------------- # 1. Prepare um Thunder.exe falso (cópia do notepad.exe) $tempDir = "$env:TEMP" $thunderPath = Join-Path -Path $tempDir -ChildPath "Thunder.exe" Copy-Item -Path "$env:SystemRootsystem32notepad.exe" -Destination $thunderPath -Force # 2. (Opcional) Solte uma DLL maliciosa ao lado para imitar sequestro $malDll = Join-Path -Path $tempDir -ChildPath "malicious.dll" # Para demonstração, apenas criamos um arquivo vazio; em um teste real, isso seria uma DLL criada. New-Item -Path $malDll -ItemType File -Force | Out-Null # 3. Inicie Thunder.exe via explorer.exe usando ShellExecute (simulado com Start-Process -Verb RunAs) $explorer = (Get-Process -Name explorer).Id # Use PowerShell para iniciar o processo com explorer como pai (requer API de baixo nível; aqui aproximamos) Start-Process -FilePath $thunderPath -ArgumentList "" -PassThru | Out-Null # 4. Aguarde um curto período para permitir que os logs sejam gerados Start-Sleep -Seconds 5 # 5. Limpeza (gerenciada na próxima seção) -
Comandos de Limpeza:
# ------------------------------------------------- # Limpeza após a simulação # ------------------------------------------------- # Remova o fake Thunder.exe e DLL fictícia de %TEMP% Remove-Item -Path "$env:TEMPThunder.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPmalicious.dll" -Force -ErrorAction SilentlyContinue # Opcionalmente, termine quaisquer processos Thunder.exe restantes Get-Process -Name "Thunder" -ErrorAction SilentlyContinue | Stop-Process -Force