Фейкові «Secure Mail» приманки доставляють шкідливі файли, маскуючись під кредитні компанії
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
AhnLab виявив фішингову кампанію, що поширює шкідливі файли LNK, замасковані під повідомлення про безпечну пошту від великого корейського постачальника кредитних карток. При відкритті цей ярлик запускає HTA через mshta.exe і PowerShell, завантажуючи підключені наповнювачі, які змінюються в залежності від того, чи увімкнено Windows Defender. Якщо Defender активний, зловмисники використовують curl для отримання зашифрованих файлів, які згодом розпаковуються та виконуються. Якщо Defender вимкнено, ланцюг змінюється на пряме завантаження DLL і додаткову діяльність завантажувача. Результуюче шкідливе ПЗ підтримує крадіжку інформації, запис натискань клавіш, збирання даних з буфера обміну та функціональні можливості бекдору.
Розслідування
Розслідування показало, що початковий файл LNK запускає mshta.exe, що виконує HTA, який містить обфускацію VBScript. Цей HTA завантажує pipe.zip, який містить скрипти кодування Base64 з назвами 1.log, 1.ps1, і 2.log, всі з яких декодуються та виконуються в пам’яті. Коли Defender не активний, шкідливе ПЗ натомість завантажує user.txt and sys.log, розшифровує sys.log у sys.dll, і виконує його через rundll32. Аналіз розшифрованого user.txt виявив три URL-адреси Google Drive, використані для завантаження додаткових шкідливих файлів, у тому числі notepad.log, net, і app, які зберігаються під %LOCALAPPDATA%.
Міри захисту
Рекомендовані заходи захисту включають перевірку легітимності вкладень електронної пошти, попередження автоматичного виконання файлів LNK і моніторинг підозрілого використання mshta.exe and curl. Служби безпеки також повинні шукати та видаляти файли, такі як 1.log, 1.ps1, 2.log, notepad.log, net, і app з %TEMP% and %LOCALAPPDATA%. Крім того, захисники повинні перевірити систему на наявність несподіваних змін у реєстрі та забезпечити включення і належну конфігурацію Windows Defender або іншої платформи захисту кінцевих точок.
Реакція
Якщо виявлено цю активність, негайно ізолюйте уражену систему, припиніть будь-які mshta.exe, curl, або rundll32 процеси, що виконують невідомі файли, і зберігайте шкідливі артефакти для криміналістичного огляду. Виконайте повне сканування системи, скиньте будь-які потенційно розкриті облікові дані та контролюйте подальшу активність бекдору, пов’язану з notepad.log. Вміст виявлення також повинен бути оновлений з використаними індикаторами компрометації, і засоби безпеки електронної пошти повинні бути посилені для блокування подібних фішингістських заманювальних заходів у майбутньому.
Потік атаки
Виявлення
Можливе виконання через короткий скрипт (через cmdline)
Перегляд
Підозріла поведінка ухилення LOLBAS MSHTA за допомогою виявлення пов’язаних команд (через створення процесів)
Перегляд
Можливе проникнення/втеча даних/С2 через сторонні послуги/інструменти (через проксі)
Перегляд
Можливе проникнення/втеча даних/С2 через сторонні послуги/інструменти (через dns)
Перегляд
Виконання Rundll32 з sys.dll у вимкнутих середовищах Windows Defender [Створення процесу Windows]
Перегляд
Шкідливий файл LNK з виконанням команди mshta [Windows Powershell]
Перегляд
Виконання симуляції
Умова: Телеметрія та перевірка базової лінії повинна бути пройдена.
-
Сценарій атаки та команди:
Супротивник отримав доступ до кінцевої точки та бажає виконати довільний код, ухиляючись від традиційного контролю додатків. Вони створюють шкідливий файл HTA, що містить обфускацію VBScript, яка, коли відображається, записує резервний варіант PowerShell на диск. Щоб запустити HTA, вони використовують ярлик Windows (.lnk), який викликаєpowershell.exeз командою, яка викликаєmshta.exe. Виконання ярлика ініціює PowerShell →mshtaланцюг, створюючи точну телеметрію, за якою правило стежить. -
Сценарій регресійного тестування:
# ------------------------------------------------- # 1. Створити шкідливий HTA з обфускацією VBScript # ------------------------------------------------- $htaPath = "$env:TEMPevil.hta" $vbscript = @" <script language='VBScript'> ' Шкідливий вантаж VBScript (приклад: записувати файл) Dim fso, f Set fso = CreateObject("Scripting.FileSystemObject") Set f = fso.CreateTextFile("C:WindowsTemppwned.txt", True) f.WriteLine "Compromised by ATT&CK" f.Close </script> "@ Set-Content -Path $htaPath -Value $vbscript -Encoding ASCII # ------------------------------------------------- # 2. Створити ярлик (.lnk), що запускає PowerShell → mshta # ------------------------------------------------- $lnkPath = "$env:TEMPlaunch_malicious.lnk" $ws = New-Object -ComObject WScript.Shell $shortcut = $ws.CreateShortcut($lnkPath) # Команда PowerShell, що запускає mshta з файлом HTA $psCommand = "mshta.exe `"$htaPath`"" $shortcut.TargetPath = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" $shortcut.Arguments = "-NoProfile -WindowStyle Hidden -Command `"$psCommand`"" $shortcut.Save() # ------------------------------------------------- # 3. Виконати ярлик для ініціювання виявлення # ------------------------------------------------- Write-Host "Виконання шкідливого ярлика..." & $lnkPath # ------------------------------------------------- # 4. Пауза для збору журналів # ------------------------------------------------- Start-Sleep -Seconds 10 -
Команди очистки:
# Видалити створені артефакти Remove-Item -Path "$env:TEMPevil.hta" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlaunch_malicious.lnk" -Force -ErrorAction SilentlyContinue Remove-Item -Path "C:WindowsTemppwned.txt" -Force -ErrorAction SilentlyContinue Write-Host "Прибирання завершено."