Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Os atores de ameaça abusaram do Net Monitor for Employees e da plataforma de gerenciamento remoto SimpleHelp para manter o acesso persistente às redes das vítimas. Ao operar através de ferramentas comerciais legítimas, os invasores se misturaram enquanto baixavam cargas adicionais e tentavam implantar o ransomware Crazy (uma variante do VoidCrypt). A infraestrutura sobreposta—domínios C2 compartilhados e endereços IP—sugere o mesmo operador em ambos os incidentes. A atividade foi focada em lucro, combinando monitoramento de roubo de credenciais/criptomoeda com tentativa de extorsão por ransomware.
Investigação
Huntress documentou duas intrusões no início de 2026 onde o Net Monitor for Employees habilitou a capacidade de shell reverso e mascaramento de serviço, enquanto o SimpleHelp proveu persistência de backup. Os analistas observaram um download renomeado de vhost.exe, execução de winpty-agent.exe e tentativas de enfraquecer defesas alterando as configurações do Windows Defender. O acesso inicial também envolveu credenciais de VPN comprometidas e as ferramentas foram instaladas usando execução silenciosa do msiexec. Várias cópias do binário do ransomware Crazy (encrypt.exe) foram deixadas, mas a fase ransomware falhou em executar.
Mitigação
Priorize MFA em todos os caminhos de acesso remoto, minimize contas privilegiadas e segmente as redes para restringir o movimento lateral. Audite de forma agressiva as ferramentas de administração de terceiros e alerte sobre cadeias de processos suspeitos, instalações silenciosas do msiexec e mascaramento de nomes de serviços. Bloqueie ou monitore a infraestrutura C2 conhecida e use o controle de aplicação para impedir a execução de binários RMM não autorizados.
Resposta
Se detectado, isole os sistemas afetados, pare processos maliciosos, e remova serviços RMM não autorizados. Preserve artefatos chave (binários, rastros de instalação, logs), bloqueie domínios/IPs C2 relacionados, e redefina quaisquer credenciais comprometidas. Realize um inventário ambiental de ferramentas administrativas para validar sua legitimidade, em seguida, remedeie alterações no registro e desfaça quaisquer tentativas de adulteração do Defender ou desativação de controles de segurança.
“graph TB %% Class Definitions classDef technique fill:#e0f7fa classDef tool fill:#ffe0b2 classDef process fill:#d1c4e9 %% Nodes step1[“<b>Technique</b> – T1078 Contas Válidas<br/>Credenciais comprometidas de SSL VPN de fornecedor usadas para acesso remoto.”] class step1 technique step2[“<b>Technique</b> – T1021.001 Serviços Remotos: Protocolo de Área de Trabalho Remota<br/>RDP usado para acessar o controlador de domínio.”] class step2 technique step3[“<b>Technique</b> – T1218.007 Execução de Proxy Binário de Sistema: Msiexec<br/>Instalou silenciosamente o Net Monitor for Employees MSI.”] class step3 technique tool_msiexec[“<b>Tool</b> – Msiexec<br/><b>Propósito</b>: Instalar pacotes MSI”] class tool_msiexec tool step4[“<b>Technique</b> – T1036 Mascaramento<br/>Serviço registrado como OneDriveSvc, processo renomeado de OneDriver.exe para svchost.exe.”] class step4 technique step5[“<b>Technique</b> – T1136.002 Criar Conta: Conta de Domínio<br/>Habilitado Administrador integrado e criadas novas contas.”] class step5 technique step5b[“<b>Technique</b> – T1136.001 Criar Conta: Conta Local”] class step5b technique step5c[“<b>Technique</b> – T1098.007 Grupos Adicionais Locais ou de Domínio<br/>Contas adicionadas a grupos privilegiados.”] class step5c technique step6[“<b>Technique</b> – T1012 Consulta de Registro<br/>Registro modificado para desativar o Windows Defender.”] class step6 technique step6b[“<b>Technique</b> – T1553 Subverter Controles de Confiança<br/>Desativou controles de segurança.”] class step6b technique step7[“<b>Technique</b> – T1059.001 PowerShell<br/>Usou winptyu2011agent.exe para baixar vhost.exe (SimpleHelp).”] class step7 technique tool_winpty[“<b>Tool</b> – winptyu2011agent.exe<br/><b>Função</b>: Downloader de carga útil PowerShell”] class tool_winpty tool malware_simplehelp[“<b>Malware</b> – vhost.exe (SimpleHelp)”] class malware_simplehelp process step8[“<b>Technique</b> – T1102 Serviço Web<br/>Comunicações bidirecionais e de uma via via HTTPS com frontização de domínio.”] class step8 technique step8b[“<b>Technique</b> – T1090.004 Frontização de Domínio<br/>Tráfego HTTPS para dronemaker.org e outros gateways.”] class step8b technique step9[“<b>Technique</b> – T1087.001 Descoberta de Conta: Conta Local<br/>Contas locais enumeradas via comandos net.”] class step9 technique step9b[“<b>Technique</b> – T1087.002 Descoberta de Conta: Conta de Domínio<br/>Contas de domínio enumeradas.”] class step9b technique step10[“<b>Technique</b> – T1486 Dados Criptografados para Impacto<br/>Tentativa de implantação do ransomware Crazy.”] class step10 technique malware_crazy[“<b>Malware</b> – ransomware Crazy”] class malware_crazy process step10b[“<b>Technique</b> – T1027.009 Arquivos ou Informações Ofuscadas: Cargas Embutidas<br/>Múltiplos binários criptografados.”] class step10b technique step11[“<b>Technique</b> – T1574.010 Sequestro de Fluxo de Execução: Fraqueza de Permissões de Arquivo de Serviços<br/>Binários e serviços renomeados para parecer legítimos.”] class step11 technique %% Conexões step1 u002du002d>|leva_a| step2 step2 u002du002d>|leva_a| step3 step3 u002du002d>|usa| tool_msiexec step3 u002du002d>|leva_a| step4 step4 u002du002d>|leva_a| step5 step5 u002du002d>|relacionado_com| step5b step5b u002du002d>|relacionado_com| step5c step5c u002du002d>|leva_a| step6 step6 u002du002d>|modifica| step6b step6b u002du002d>|leva_a| step7 step7 u002du002d>|usa| tool_winpty tool_winpty u002du002d>|baixa| malware_simplehelp malware_simplehelp u002du002d>|leva_a| step8 step8 u002du002d>|usa| step8b step8b u002du002d>|leva_a| step9 step9 u002du002d>|leva_a| step9b step9b u002du002d>|leva_a| step10 step10 u002du002d>|entrega| malware_crazy malware_crazy u002du002d>|relacionado_com| step10b step10b u002du002d>|leva_a| step11 “
Fluxo de Ataque
Detecções
Possível Descoberta de Configuração de Rede do Sistema (via linha de comando)
Visualizar
Tentativas de Instalação Oculta Suspeitas do Instalador Remoto MsiExec (via linha de comando)
Visualizar
Download ou Upload via Powershell (via linha de comando)
Visualizar
Binário/Script Suspeito em Local de Autoinicialização (via evento de arquivo)
Visualizar
IOCs (DestinationIP) para detectar: Monitoramento de Funcionário e Software SimpleHelp Abusados em Operações de Ransomware
Visualizar
IOCs (SourceIP) para detectar: Monitoramento de Funcionário e Software SimpleHelp Abusados em Operações de Ransomware
Visualizar
IOCs (HashSha256) para detectar: Monitoramento de Funcionário e Software SimpleHelp Abusados em Operações de Ransomware
Visualizar
Download de Arquivo Potencialmente Malicioso via PowerShell [Windows Powershell]
Visualizar
Detecção de Uso Malicioso de Monitoramento de Funcionário e Software SimpleHelp em Operações de Ransomware [Criação de Processo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação de Telemetria & Baseline Pré-voo deve ter sido aprovada.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
- Preparação: O atacante copia um binário benigno do Windows (
calc.exe) para um arquivo nomeadonmep_agtconfig.exe, um sufixo monitorado que representa o agente SimpleHelp. - Execução: O binário renomeado é lançado, causando que o Sysmon registre um evento de criação de processo cujo
Imagemtermina comnmep_agtconfig.exe. - Pós-execução: O atacante opcionalmente executa uma linha única de PowerShell de dentro do processo gerado para simular a execução de comando (ilustrando T1059), mas este comportamento extra não é necessário para a regra disparar.
- Preparação: O atacante copia um binário benigno do Windows (
-
Script de Teste de Regressão:
# Script de simulação – aciona a regra Sigma $src = "$env:SystemRootSystem32calc.exe" $dst = "$env:Tempnmep_agtconfig.exe" # Copie calc.exe para o nome mascarado Copy-Item -Path $src -Destination $dst -Force # Execute o binário mascarado $proc = Start-Process -FilePath $dst -PassThru # Opcional: dentro da mesma sessão, execute um comando inofensivo para gerar telemetria de linha de comando Start-Process -FilePath "powershell.exe" -ArgumentList '-NoProfile -Command "Write-Host Carga simulada."' -NoNewWindow # Saída PID para limpeza Write-Output "PID gerado: $($proc.Id)" -
Comandos de Limpeza:
# Termine o processo mascarado se ainda estiver em execução Get-Process -Name "nmep_agtconfig" -ErrorAction SilentlyContinue | Stop-Process -Force # Remova o arquivo do disco Remove-Item -Path "$env:Tempnmep_agtconfig.exe" -Force