Nightmare-Eclipse переходить від публічного PoC до реальних атак

SOC Prime Team

Стежити

Nightmare-Eclipse переходить від публічного PoC до реальних атак

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Huntress задокументувала реальне вторгнення, під час якого зловмисники використовували загальнодоступні інструменти для підвищення привілеїв, відомі як BlueHammer, RedSun і UnDefend. Операція почалася з компрометації облікових даних FortiGate SSL VPN, що дало зловмисникам доступ до середовища та дозволило розміщувати шкідливі двійкові файли в папках, доступних для запису користувачами. Опинившись всередині, вони виконали команди розвідки та розгорнули спеціальну утиліту тунелювання на базі Go під назвою BeigeBurrow. Випадок підкреслює, як інструменти експлойтів proof-of-concept швидко переходять від публічного випуску до активної вторгненної діяльності.

Розслідування

Розслідування відстежило шкідливу активність до компрометованих сесій FortiGate SSL VPN, що походять з IP-адрес у Росії, Сінгапурі та Швейцарії. Аналітики виявили двійкові файли, включаючи FunnyApp.exe, RedSun.exe, undef.exe, і агент тунелювання на базі Go під назвою agent.exe збережені в папках користувача Pictures and Downloads . Зловмисники також виконали команди з клавіатури такі як whoami /priv, cmdkey /list, і net group для переліку привілеїв і облікових даних. Агент тунелювання встановив зворотний тунель на основі yamux до staybud.dpdns.org через порт 443 для підтримки віддаленого доступу.

Пом’якшення

Захисники повинні моніторити виконання з незвичайних шляхів, доступних для запису, виявляти відомі імена двійкових файлів і розслідувати оповіщення Microsoft Defender, такі як Exploit:Win32/DfndrPEBluHmr.BZ та виявлення, пов’язані з EICAR. Необхідно переглянути журнали VPN на предмет підозрілих входів з широко розділених географічних точок, а будь-які ненадійні IP-джерела повинні бути заблоковані. Команди безпеки повинні також розгорнути виявлення кінцевих точок для активності BlueHammer, RedSun і UnDefend та пріоритизувати усунення CVE-2026-33825.

Реагування

Якщо ця активність буде виявлена, негайно ізолюйте уражену кінцеву точку, припиніть агент тунелювання та видаліть всі розміщені двійкові файли з вузла. Скиньте скомпрометовані облікові дані VPN та запровадьте багатофакторну аутентифікацію для віддаленого доступу. Реагуючі на інциденти повинні також провести повний огляд на предмет зливу облікових даних, застосувати патч Microsoft для CVE-2026-33825, та провести полювання по всьому середовищу на предмет будь-яких залишків інструментів для підвищення привілеїв.

"graph TB %% Class definitions classDef action fill:#99ccff classDef builtin fill:#ffcc99 classDef malware fill:#ccffcc %% Nodes u2013 Actions action_initial_access["Action – T1078 Valid Accounts Compromised FortiGate SSL VPN credentials provide legitimate network access."] class action_initial_access action action_execution["Action – Execution from useru2011writable paths Binaries placed in Pictures and Downloads are executed."] class action_execution action action_priv_esc_exploit["Action – T1068 Exploitation for Privilege Escalation BlueHammer exploits a TOCTOU vulnerability in Windows Defender to obtain a handle to the SAM database and elevate to SYSTEM."] class action_priv_esc_exploit action action_priv_esc_abuse["Action – T1548 Abuse Elevation Control Mechanism RedSun leverages a race condition in Defenderu2019s cloudu2011file remediation flow to write a malicious executable into C:WindowsSystem32 and gain SYSTEM privileges."] class action_priv_esc_abuse action action_credential_dump["Action – T1003 OS Credential Dumping BlueHammer reads the SAM hive from a Volume Shadow Copy to extract NTLM password hashes."] class action_credential_dump action action_pass_the_hash["Action – T1550.002 Pass the Hash Extracted hashes are intended for lateral movement using Passu2011theu2011Hash (not observed to succeed)."] class action_pass_the_hash action action_defense_evasion["Action – T1211 Exploitation for Defense Evasion UnDefend locks Defender definition files and blocks service restarts, temporarily disabling the antivirus."] class action_defense_evasion action action_c2["Action – T1071.001 Web Protocols BeigeBurrow agent creates a persistent reverse HTTPS tunnel using the yamux multiplexing library."] class action_c2 action %% Nodes u2013 Malware / Tools malware_funnyapp["Malware – Name: FunnyApp.exe Location: UserPictures"] class malware_funnyapp malware malware_redsun["Malware – Name: RedSun.exe Location: UserDownloads"] class malware_redsun malware malware_undef["Malware – Name: undef.exe Location: UserDownloads"] class malware_undef malware malware_z["Malware – Name: z.exe Location: UserDownloads"] class malware_z malware malware_beigeburrow["Malware – Name: BeigeBurrow agent (agent.exe)"] class malware_beigeburrow malware tool_bluehammer["Tool – Name: BlueHammer Description: Exploits Defender TOCTOU to capture SAM handle and dump credentials."] class tool_bluehammer builtin tool_redsun["Tool – Name: RedSun Description: Writes malicious executable to C:WindowsSystem32 via Defender race condition."] class tool_redsun builtin tool_undefend["Tool – Name: UnDefend Description: Locks AV definition files and prevents Defender service restarts."] class tool_undefend builtin %% Connections u2013 Attack Flow action_initial_access –>|leads_to| action_execution action_execution –>|executes| malware_funnyapp action_execution –>|executes| malware_redsun action_execution –>|executes| malware_undef action_execution –>|executes| malware_z malware_redsun –>|uses| tool_redsun malware_funnyapp –>|drops| tool_bluehammer action_priv_esc_exploit –>|uses| tool_bluehammer action_priv_esc_exploit –>|leads_to| action_priv_esc_abuse action_priv_esc_abuse –>|uses| tool_redsun action_priv_esc_abuse –>|enables| action_credential_dump action_credential_dump –>|produces| action_pass_the_hash action_defense_evasion –>|uses| tool_undefend action_c2 –>|established_by| malware_beigeburrow "

Потік Атаки

Атакувальний наратив і команди:
Супротивник, що отримав доступ до Windows вузла, прагне підтвердити рівень привілеїв скомпрометованого облікового запису та перелічити збережені облікові дані та доменні групи для бічного переміщення. Щоб залишитися непоміченим, атакуючий використовує рідні двійкові файли Windows (whoami, cmdkey, net) виконані безпосередньо з PowerShell, уникаючи будь-яких сторонніх інструментів, які б генерували додаткові оповіщення. Кожна команда створює процес, створюючи запис Event ID 4688 з точною командною лінією, за якою слідкує правило Sigma.

Сценарій Регресійного Тесту:

 # -----------------------------------------------------------------
  # Симуляція розвідки з клавіатури для спрацьовування правила Sigma
  # -----------------------------------------------------------------
  # 1. Відображення поточних привілеїв токена
  whoami /priv

  # 2. Перелік збережених облікових даних Windows
  cmdkey /list

  # 3. Перелік груп домену (вимагає доменного контексту)
  net group

  # Пауза для збору даних SIEM
  Start-Sleep -Seconds 10

Команди очищення:

 # Видалення будь-яких тимчасових артефактів (жоден не створено)
  # Очищення історії команд PowerShell для скритності (необов'язково)
  Clear-History

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно