SOC Prime Bias: Критичний

16 Jun 2026 05:47 UTC

Аналіз SHEET#CREEP: Шкідливе ПЗ Повертається з Новими Ускладненими Конфігураціями

Author Photo
SOC Prime Team linkedin icon Стежити
Аналіз SHEET#CREEP: Шкідливе ПЗ Повертається з Новими Ускладненими Конфігураціями
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Активна операція шпигунства під назвою SHEETCREEP базується на троянській програмі віддаленого доступу на C#, яка використовує API Google Sheets для командування та контролю. Зловмисники доставляють шкідливе ПЗ через фішинговий прийом із дипломатичною темою у вигляді ISO, після чого RAT встановлює стійкість і виконує команди через вбудований простір виконання PowerShell. Останні зразки показують, що оператори зміцнили шкідливе програмне забезпечення, додавши обфускацію на основі XOR для конфігураційних даних.

Розслідування

Команда досліджень загроз Securonix виявила кампанію, витягнувши вбудовані облікові дані сервісного облікового запису Google Cloud з бінарного файлу RAT. Після автентифікації до онлайн-таблиці командування та контролю, дослідники виявили 91 вкладку активних жертв, включно з пісочницями, дослідницькими середовищами, та однією високонадійною жертвою в Пакистані. Їхній аналіз показав, що захист конфігурації шкідливого програмного забезпечення еволюціонував через оновлений підхід до обфускації.

Пом’якшення

Організації повинні уникати відкриття небажаних вкладень, особливо ISO файлів, що містять LNK файли-ярлики. Захисники повинні моніторити %LOCALAPPDATA%MicrosoftVault каталог на наявність підозрілих виконуваних файлів та перевіряти заплановані завдання для введення в оману або несподіваних записів. Сильна видимість кінцевої точки за допомогою інструментів, таких як Sysmon і AMSI, також може допомогти виявити діяльність PowerShell у процесі, пов’язану з цим шкідливим програмним забезпеченням.

Відповідь

Якщо спостерігається незвичайний HTTPS-трафік до сервісів Google API із процесів не браузера, уражена система повинна бути негайно ізольована. Команди безпеки повинні перевірити заплановані завдання на наявність неавторизованих елементів, таких як WindowsVaultSyncService. Слід також провести судово-аналітичний огляд %LOCALAPPDATA%MicrosoftVault для ідентифікації прихованих або системно-атрибутованих бінарників, пов’язаних із вторгненням.

Потік Атаки

Виявлення

Можливий Вибір Використання для Відтермінування Виконання (через командний рядок)

Команда SOC Prime
12 черв. 2026

Образ Диска VHDMP Був Підключений (через VHDMP)

Команда SOC Prime
12 черв. 2026

Підозріле Заплановане Завдання (через аудит)

Команда SOC Prime
12 черв. 2026

Можлива Активність Утиліти Команд і Контроль Google (через проксі)

Команда SOC Prime
12 черв. 2026

IOC (HashSha256) для виявлення: Аналіз SHEET#CREEP: SHEETCREEP знову з іншою обфускацією конфігурації

Правила SOC Prime AI
12 черв. 2026

IOC (SourceIP) для виявлення: Аналіз SHEET#CREEP: SHEETCREEP знову з іншою обфускацією конфігурації

Правила SOC Prime AI
12 черв. 2026

IOC (DestinationIP) для виявлення: Аналіз SHEET#CREEP: SHEETCREEP знову з іншою обфускацією конфігурації

Правила SOC Prime AI
12 черв. 2026

Виявлення Комунікації C2 через SHEET#CREEP за допомогою API Google Sheets [Firewall]

Правила SOC Prime AI
12 черв. 2026

Виявлення Використання Взаємного Ізолятора SHEET#CREEP [Windows Sysmon]

Правила SOC Prime AI
12 черв. 2026

Виявлення Шаблонів Стійкості та Виконання SHEETCREEP [Windows Process Creation]

Правила SOC Prime AI
12 черв. 2026

Виконання Симуляції

Передумова: Телеметрія та Базова Перевірка Перед запуском повинні були пройти.

Аргументація: Цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для активації правила виявлення. Команди та опис ПОВИННІ безпосередньо відображати TTP та прагнути створити точну телеметрію, очікувану логікою виявлення. Абстрактні або не пов’язані приклади призведуть до помилкової діагностики.

  • Опис Нападу та Команди: Супротивник прагне встановити стійкість і виконати троян віддаленого доступу (RAT), використовуючи техніку SHEETCREEP. Спочатку вони імітують початкове виконання через злоякісний LNK файл, який викликає cmd.exe для запуску певного підозрілого виконуваного файлу. Потім вони встановлюють стійкість, створюючи заплановане завдання з назвою WindowsVaultSyncService з оманливим описом, що зливається з системними оновленнями. Нарешті, вони розгортають завантаження vaultsvc.exe до C:UsersAppDataLocalMicrosoftVault каталогу та виконують його, щоб активувати фінальну частину логіки виявлення.

  • Сценарій Регресійного Тесту:

    # Сценарій Симуляції SHEETCREEP
    # Примітка: Цей сценарій має виконуватися з правами Адміністратора для створення запланованих завдань.
    $targetDir = "$env:LOCALAPPDATAMicrosoftVault"
    $payloadName = "vaultsvc.exe"
    $payloadPath = "$targetDir$payloadName"
    $taskName = "WindowsVaultSyncService"
    $taskDesc = "Windows Edge Core Update Task Machine Discord Update"
    Write-Host "[+] Початок Симуляції SHEETCREEP..." -ForegroundColor Cyan
    # 1. Імітувати Вибір 1: виконання CMD з певним рядком
    Write-Host "[+] Імітація Вибору 1: зразок команди CMD..." -ForegroundColor Yellow
    Start-Process cmd.exe -ArgumentList '/c start "" "Document_11052026-03578240540350-93.exe"' -WindowStyle Hidden
    # 2. Імітувати Вибір 2: Створення Запланованого Завдання
    Write-Host "[+] Імітація Вибору 2: створення запланованого завдання..." -ForegroundColor Yellow
    $action = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c echo Стійкість Встановлена"
    $trigger = New-ScheduledTaskTrigger -AtLogOn
    Register-ScheduledTask -Action $action -Trigger $trigger -TaskName $taskName -Description $taskDesc -Force
    # 3. Імітувати Вибір 3: Розміщення та виконання Завантаження
    Write-Host "[+] Імітація Вибору 3: розгортання та виконання завантаження..." -ForegroundColor Yellow
    if (!(Test-Path $targetDir)) {
        New-Item -Path $targetDir -ItemType Directory -Force | Out-Null
    }
    # Створити фіктивний бінарний файл для імітації RAT
    New-Item -Path $payloadPath -ItemType File -Force | Out-Null
    # Виконати фіктивне завантаження
    Start-Process -FilePath $payloadPath -WindowStyle Hidden -ErrorAction SilentlyContinue
    Write-Host "[+] Команди симуляції відправлені. Перевірте SIEM на наявність попереджень." -ForegroundColor Green
  • Команди Очищення:

    # Очищення Симуляції SHEETCREEP
    $targetDir = "$env:LOCALAPPDATAMicrosoftVault"
    $payloadPath = "$targetDirvaultsvc.exe"
    $taskName = "WindowsVaultSyncService"
    Write-Host "[+] Очищення артефактів симуляції..." -ForegroundColor Cyan
    # Видалити Заплановане Завдання
    Unregister-ScheduledTask -TaskName $taskName -Confirm:$false -ErrorAction SilentlyContinue
    # Видалити Завантаження та Директорію
    if (Test-Path $payloadPath) { Remove-Item $payloadPath -Force }
    if (Test-Path $targetDir) { Remove-Item $targetDir -Recurse -Force }
    Write-Host "[+] Очищення завершено." -ForegroundColor Green