Técnicas de Ataque do SloppyLemming & Backdoor BurrowShell Explicados
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
SloppyLemming é um grupo de ciberespionagem que tem como alvo indústrias críticas na Ásia do Sul e Leste. O grupo depende de spear phishing para entregar malware personalizado, incluindo o backdoor BurrowShell e um keylogger baseado em Rust. Ele também faz uso extensivo de Cloudflare Workers para suportar atividades de comando e controle e operações de roubo de credenciais.
Investigação
O relatório descreve uma campanha em várias etapas envolvendo macros do Excel maliciosas e portais de autenticação falsificados. Pesquisadores identificaram subdomínios do Cloudflare criados para imitar entidades governamentais e analisaram o shellcode personalizado do grupo junto com suas capacidades de keylogging. A investigação também mostrou como o SloppyLemming evita a análise estática por meio de resolução dinâmica de APIs e cargas úteis criptografadas com RC4.
Mitigação
As organizações devem implantar um forte filtro de e-mails para bloquear anexos maliciosos e links de phishing antes de sua entrega. As equipes de segurança devem monitorar modificações não autorizadas em chaves de execução e relações suspeitas entre processos pai e filho, incluindo NGenTask.exe carregando DLLs inesperadas. A detecção também deve cobrir tráfego incomum de Cloudflare Worker e quaisquer sinais de uso não autorizado de tokens OAuth.
Resposta
Se esta atividade for detectada, isole imediatamente os sistemas afetados para interromper a exfiltração adicional através do canal de comando e controle. Realize forense na memória para recuperar o shellcode do BurrowShell e determinar a extensão do comprometimento. Redefina as credenciais para quaisquer contas que possam ter sido expostas por meio do keylogger ou interceptação OAuth, com atenção especial para contas do Google.
Fluxo de Ataque
Detecções
Possível Abuso de Domínio de Desenvolvimento do Cloudflare (via dns)
Ver
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via evento de registro)
Ver
Possível Arquivo Malicioso com Extensão Dupla (via criação de processo)
Ver
Monitoramento de Comunicação C2 do SloppyLemming via BurrowShell [Conexão de Rede do Windows]
Ver
Detecção de Atividade Maliciosa pelo Grupo SloppyLemming [Criação de Processo do Windows]
Ver
Execução de Simulação
Pré-requisito: O teste de pré-voo de Telemetria & Linha de Base deve ter sido aprovado.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visa gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errôneos.
-
Narrativa & Comandos de Ataque: Um adversário busca manter a persistência e executar código de forma discreta. Eles tentam sequestrar o fluxo do processo
audiodg.exepassandomscorsvc.dllcomo argumento, uma técnica conhecida do SloppyLemming. Para complicar ainda mais a detecção, eles também podem tentar mascarar sua presença nomeando um processo malicioso secundárioOneDrive.exena string de comando. O objetivo é acionar a regra de detecção combinando a combinação específica deaudiodg.exee o nome de DLL ou mascarado suspeito. -
Script de Teste de Regressão:
# Script de Simulação: Emulação de TTP do SloppyLemming # Cenário 1: Sequestrando audiodg.exe com mscorsvc.dll Write-Host "[+] Simulando sequestro de audiodg.exe com mscorsvc.dll..." Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden # Cenário 2: Mascaramento via OneDrive.exe na linha de comando Write-Host "[+] Simulando execução de audiodg.exe com mascaramento de OneDrive.exe..." Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden -
Comandos de Limpeza:
# Limpeza: Nenhum artefato permanente é criado pelos comandos cmd /c, # mas garantimos que não existam processos suspeitos remanescentes. Stop-Process -Name "cmd" -ErrorAction SilentlyContinue