SOC Prime Bias: Crítico

30 Dec 2025 13:52 UTC

Raposa Prateada Mira Índia com Iscas de Phishing Temáticas de Impostos

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Raposa Prateada Mira Índia com Iscas de Phishing Temáticas de Impostos
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Um grupo APT chinês chamado Silver Fox conduz uma campanha de phishing com tema fiscal contra entidades indianas. O e-mail inicial contém um PDF que direciona as vítimas para um domínio malicioso e aciona o download de um arquivo ZIP. O ZIP contém um instalador NSIS que solta Thunder.exe e um libexpat.dll malicioso que executa sequestro de DLL, verifica anti-análise e carrega shellcode criptografado. A carga final é um Valley RAT que recebe configuração de uma infraestrutura multi-nível de C2.

Investigação

O relatório detalha quatro estágios: (1) entrega de um ZIP via um PDF atrativo, (2) execução de um instalador NSIS que solta Thunder.exe e libexpat.dll, (3) um carregador de shellcode gerado por Donut que injeta em explorer.exe, e (4) implantação de Valley RAT com persistência baseada em registro e plugins modulares. A análise inclui exame estático e dinâmico dos binários, enumeração de domínios C2, e mapeamento para técnicas ATT&CK.

Mitigação

Os defensores devem monitorar binários assinados carregando DLLs não assinadas de locais temporários, gravações de registro sob HKCUConsole e a criação anormal de memória PAGE_EXECUTE_READWRITE em explorer.exe. Bloquear domínios e IPs C2 conhecidos e detectar comportamento de fallback multi-nível reduzirá a exposição. Implementar controle de aplicação rigoroso e detecção de evasão de sandbox para impedir o instalador NSIS inicial.

Resposta

Quando um indicador é observado, isolar o host afetado, coletar memória volátil para análise de injeção de processo e buscar chaves de registro e plugins do Valley RAT. Bloquear toda a infraestrutura C2 identificada e redefinir credenciais comprometidas. Conduzir uma revisão forense completa para identificar quaisquer plugins adicionais ou ferramentas de movimento lateral.

Fluxo de ataque

Execução de Simulação

Pré-requisito: O Cheque Pré-voo de Telemetria e Linha de Base deve ter passado.

Fundamento: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa e Comandos do Ataque:
    Um adversário entrega uma DLL maliciosa junto com um “Thunder.exe” solto para a %TEMP% diretório da vítima. Para evitar suspeitas do usuário, o payload é lançado através do já em execução explorer.exe processo usando o Windows ShellExecute API, o que resulta em um evento de criação de processo onde explorer.exe aparece como pai. O Thunder.exe malicioso subsequente carrega a DLL (sequestro de DLL) e injeta shellcode no explorer.exe processo (injeção de processo), alcançando execução de código com o token do usuário.

  • Script de Teste de Regressão:

    # -------------------------------------------------
    # Script de regressão para acionar a detecção Sigma
    # -------------------------------------------------
    # 1. Prepare um Thunder.exe falso (cópia do notepad.exe)
    $tempDir   = "$env:TEMP"
    $thunderPath = Join-Path -Path $tempDir -ChildPath "Thunder.exe"
    Copy-Item -Path "$env:SystemRootsystem32notepad.exe" -Destination $thunderPath -Force
    
    # 2. (Opcional) Solte uma DLL maliciosa ao lado para imitar sequestro
    $malDll = Join-Path -Path $tempDir -ChildPath "malicious.dll"
    # Para demonstração, apenas criamos um arquivo vazio; em um teste real, isso seria uma DLL criada.
    New-Item -Path $malDll -ItemType File -Force | Out-Null
    
    # 3. Inicie Thunder.exe via explorer.exe usando ShellExecute (simulado com Start-Process -Verb RunAs)
    $explorer = (Get-Process -Name explorer).Id
    # Use PowerShell para iniciar o processo com explorer como pai (requer API de baixo nível; aqui aproximamos)
    Start-Process -FilePath $thunderPath -ArgumentList "" -PassThru | Out-Null
    
    # 4. Aguarde um curto período para permitir que os logs sejam gerados
    Start-Sleep -Seconds 5
    
    # 5. Limpeza (gerenciada na próxima seção)
  • Comandos de Limpeza:

    # -------------------------------------------------
    # Limpeza após a simulação
    # -------------------------------------------------
    # Remova o fake Thunder.exe e DLL fictícia de %TEMP%
    Remove-Item -Path "$env:TEMPThunder.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPmalicious.dll" -Force -ErrorAction SilentlyContinue
    
    # Opcionalmente, termine quaisquer processos Thunder.exe restantes
    Get-Process -Name "Thunder" -ErrorAction SilentlyContinue | Stop-Process -Force