Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Активна операція шпигунства під назвою SHEETCREEP базується на троянській програмі віддаленого доступу на C#, яка використовує API Google Sheets для командування та контролю. Зловмисники доставляють шкідливе ПЗ через фішинговий прийом із дипломатичною темою у вигляді ISO, після чого RAT встановлює стійкість і виконує команди через вбудований простір виконання PowerShell. Останні зразки показують, що оператори зміцнили шкідливе програмне забезпечення, додавши обфускацію на основі XOR для конфігураційних даних.
Розслідування
Команда досліджень загроз Securonix виявила кампанію, витягнувши вбудовані облікові дані сервісного облікового запису Google Cloud з бінарного файлу RAT. Після автентифікації до онлайн-таблиці командування та контролю, дослідники виявили 91 вкладку активних жертв, включно з пісочницями, дослідницькими середовищами, та однією високонадійною жертвою в Пакистані. Їхній аналіз показав, що захист конфігурації шкідливого програмного забезпечення еволюціонував через оновлений підхід до обфускації.
Пом’якшення
Організації повинні уникати відкриття небажаних вкладень, особливо ISO файлів, що містять LNK файли-ярлики. Захисники повинні моніторити %LOCALAPPDATA%MicrosoftVault каталог на наявність підозрілих виконуваних файлів та перевіряти заплановані завдання для введення в оману або несподіваних записів. Сильна видимість кінцевої точки за допомогою інструментів, таких як Sysmon і AMSI, також може допомогти виявити діяльність PowerShell у процесі, пов’язану з цим шкідливим програмним забезпеченням.
Відповідь
Якщо спостерігається незвичайний HTTPS-трафік до сервісів Google API із процесів не браузера, уражена система повинна бути негайно ізольована. Команди безпеки повинні перевірити заплановані завдання на наявність неавторизованих елементів, таких як WindowsVaultSyncService. Слід також провести судово-аналітичний огляд %LOCALAPPDATA%MicrosoftVault для ідентифікації прихованих або системно-атрибутованих бінарників, пов’язаних із вторгненням.
graph TB %% Секція визначення класів classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef evasion fill:#9b59b6,stroke:#333,stroke-width:2px classDef command_control fill:#e74c3c,stroke:#333,stroke-width:2px classDef malware fill:#ecf0f1,stroke:#333,stroke-width:2px %% Вузли початкового доступу node_iso[“<b>Файл</b>: UAE-India_Strategic_Partnership_Week.iso<br/><b>Дія</b>: Монтування ISO<br/><b>Контекст</b>: Дипломатична тема використана для соціальної інженерії”] class node_iso initial_access node_lnk[“<b>Файл</b>: Шкідливий LNK ярлик<br/><b>Техніка</b>: T1027.012 – Обфускація файлів або інформації: приховування іконки LNK<br/><b>Опис</b>: LNK-файл маскується під PDF-іконку для обману користувача”] class node_lnk initial_access %% Вузли виконання та дропера node_user_exec[“<b>Дія</b>: T1204.002 – Виконання користувачем: Шкідливий файл<br/><b>Опис</b>: Жертва взаємодіє зі шкідливим LNK-файлом”] class node_user_exec execution node_dropper[“<b>Шкідливе ПЗ</b>: C# Dropper<br/><b>Файл</b>: Document_11052026-03578240540350-93.exe<br/><b>Функція</b>: Витягує PDF-приманку та розміщує RAT payload”] class node_dropper execution %% Вузли стійкості та ухилення node_rat[“<b>Шкідливе ПЗ</b>: SHEETCREEP RAT<br/><b>Процес</b>: vaultsvc.exe<br/><b>Розташування</b>: %LOCALAPPDATA%\\Microsoft\\Vault\\vaultsvc.exe”] class node_rat malware node_attr_evasion[“<b>Дія</b>: T1027.008 – Обфускація файлів або інформації: видалені payload<br/><b>Опис</b>: Встановлення атрибутів RAT-файлу як Прихований та Системний”] class node_attr_evasion evasion node_persistence[“<b>Дія</b>: T1137 – Автозапуск застосунків Office<br/><b>Метод</b>: Заплановане завдання через COM API<br/><b>Назва завдання</b>: WindowsVaultSyncService”] class node_persistence persistence node_melt[“<b>Дія</b>: T1070.004 – Видалення індикаторів: Видалення файлів<br/><b>Опис</b>: Melt-рутина видаляє дропер та замінює його легітимним PDF”] class node_melt evasion %% Вузли C2 та розширеного ухилення node_c2_api[“<b>Техніка</b>: T1102.002 – Вебсервіс: Двостороння комунікація<br/><b>Канал</b>: Google Sheets API<br/><b>Автентифікація</b>: GCP Service Account та RSA-2048 ключ”] class node_c2_api command_control node_xor_cfg[“<b>Техніка</b>: T1573.002 – Шифрований канал<br/><b>Опис</b>: XOR-зашифрована конфігурація з ключем ‘discrete’ для Spreadsheet ID”] class node_xor_cfg command_control node_powershell_evasion[“<b>Техніка</b>: T1036.011 – Маскування: Перезапис аргументів процесу<br/><b>Опис</b>: Виконання команд через PowerShell runspace всередині процесу для обходу EDR”] class node_powershell_evasion evasion %% Потік з’єднань node_iso –>|містить| node_lnk node_lnk –>|запускає| node_user_exec node_user_exec –>|виконує| node_dropper node_dropper –>|розміщує| node_rat node_dropper –>|застосовує_атрибути| node_attr_evasion node_dropper –>|створює_стійкість| node_persistence node_dropper –>|виконує| node_melt node_rat –>|спілкується_через| node_c2_api node_rat –>|використовує| node_xor_cfg node_rat –>|виконує_команди_через| node_powershell_evasion
Потік Атаки
Виявлення
Можливий Вибір Використання для Відтермінування Виконання (через командний рядок)
Перегляд
Образ Диска VHDMP Був Підключений (через VHDMP)
Перегляд
Підозріле Заплановане Завдання (через аудит)
Перегляд
Можлива Активність Утиліти Команд і Контроль Google (через проксі)
Перегляд
IOC (HashSha256) для виявлення: Аналіз SHEET#CREEP: SHEETCREEP знову з іншою обфускацією конфігурації
Перегляд
IOC (SourceIP) для виявлення: Аналіз SHEET#CREEP: SHEETCREEP знову з іншою обфускацією конфігурації
Перегляд
IOC (DestinationIP) для виявлення: Аналіз SHEET#CREEP: SHEETCREEP знову з іншою обфускацією конфігурації
Перегляд
Виявлення Комунікації C2 через SHEET#CREEP за допомогою API Google Sheets [Firewall]
Перегляд
Виявлення Використання Взаємного Ізолятора SHEET#CREEP [Windows Sysmon]
Перегляд
Виявлення Шаблонів Стійкості та Виконання SHEETCREEP [Windows Process Creation]
Перегляд
Виконання Симуляції
Передумова: Телеметрія та Базова Перевірка Перед запуском повинні були пройти.
Аргументація: Цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для активації правила виявлення. Команди та опис ПОВИННІ безпосередньо відображати TTP та прагнути створити точну телеметрію, очікувану логікою виявлення. Абстрактні або не пов’язані приклади призведуть до помилкової діагностики.
-
Опис Нападу та Команди: Супротивник прагне встановити стійкість і виконати троян віддаленого доступу (RAT), використовуючи техніку SHEETCREEP. Спочатку вони імітують початкове виконання через злоякісний LNK файл, який викликає
cmd.exeдля запуску певного підозрілого виконуваного файлу. Потім вони встановлюють стійкість, створюючи заплановане завдання з назвоюWindowsVaultSyncServiceз оманливим описом, що зливається з системними оновленнями. Нарешті, вони розгортають завантаженняvaultsvc.exeдоC:Usersкаталогу та виконують його, щоб активувати фінальну частину логіки виявлення.AppDataLocalMicrosoftVault -
Сценарій Регресійного Тесту:
# Сценарій Симуляції SHEETCREEP # Примітка: Цей сценарій має виконуватися з правами Адміністратора для створення запланованих завдань. $targetDir = "$env:LOCALAPPDATAMicrosoftVault" $payloadName = "vaultsvc.exe" $payloadPath = "$targetDir$payloadName" $taskName = "WindowsVaultSyncService" $taskDesc = "Windows Edge Core Update Task Machine Discord Update" Write-Host "[+] Початок Симуляції SHEETCREEP..." -ForegroundColor Cyan # 1. Імітувати Вибір 1: виконання CMD з певним рядком Write-Host "[+] Імітація Вибору 1: зразок команди CMD..." -ForegroundColor Yellow Start-Process cmd.exe -ArgumentList '/c start "" "Document_11052026-03578240540350-93.exe"' -WindowStyle Hidden # 2. Імітувати Вибір 2: Створення Запланованого Завдання Write-Host "[+] Імітація Вибору 2: створення запланованого завдання..." -ForegroundColor Yellow $action = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c echo Стійкість Встановлена" $trigger = New-ScheduledTaskTrigger -AtLogOn Register-ScheduledTask -Action $action -Trigger $trigger -TaskName $taskName -Description $taskDesc -Force # 3. Імітувати Вибір 3: Розміщення та виконання Завантаження Write-Host "[+] Імітація Вибору 3: розгортання та виконання завантаження..." -ForegroundColor Yellow if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force | Out-Null } # Створити фіктивний бінарний файл для імітації RAT New-Item -Path $payloadPath -ItemType File -Force | Out-Null # Виконати фіктивне завантаження Start-Process -FilePath $payloadPath -WindowStyle Hidden -ErrorAction SilentlyContinue Write-Host "[+] Команди симуляції відправлені. Перевірте SIEM на наявність попереджень." -ForegroundColor Green -
Команди Очищення:
# Очищення Симуляції SHEETCREEP $targetDir = "$env:LOCALAPPDATAMicrosoftVault" $payloadPath = "$targetDirvaultsvc.exe" $taskName = "WindowsVaultSyncService" Write-Host "[+] Очищення артефактів симуляції..." -ForegroundColor Cyan # Видалити Заплановане Завдання Unregister-ScheduledTask -TaskName $taskName -Confirm:$false -ErrorAction SilentlyContinue # Видалити Завантаження та Директорію if (Test-Path $payloadPath) { Remove-Item $payloadPath -Force } if (Test-Path $targetDir) { Remove-Item $targetDir -Recurse -Force } Write-Host "[+] Очищення завершено." -ForegroundColor Green