Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Складний інфостілер на базі Rust поширюється через фальшивий інсталятор OpenClaw. Початковий дроппер, відстежуваний як Hologram, застосовує кілька технік ухилення від пісочниці перед розгортанням модульного імплантату з шести компонентів. Операція також зловживає легітимні платформи, такі як Azure DevOps, Telegram, та Hookdeck, для керування та контрольної доставки. Її основна мета – викрадення облікових даних з розширень криптовалютних гаманців і менеджерів паролів у браузері.
Дослідження
Netskope Threat Labs досліджували дві кампанії, Hologram і Pathfinder, і картували весь ланцюг інфекції від фальшивого інсталятора до фінальних модулів викрадення облікових даних. Їхній аналіз виявив перевірки анти-VM, вимогу до пересування миші, запуск PowerShell, який відключає Microsoft Defender, та кілька методів стійкості, включаючи ключі Run, Winlogon userinit викрадення, заплановані завдання та викрадення COM. Дослідники також зазначили часті зміни інфраструктури через домени, канали Telegram та вебхуки Hookdeck.
Пом’якшення
Захисникам слід блокувати завантаження фальшивих інсталяторів OpenClaw та стежити за великим 130 МБ файлом Rust PE, пов’язаним з кампанією. Команди безпеки також повинні виявляти створення ярлика OneDriveSync.lnk у папці автозавантаження і стежити за змінами в реєстрі, що стосуються Winlogon userinit. Доступ на вихід до Azure DevOps, API Telegram та кінцевих точок Hookdeck повинен бути суворо контролюваним на системах, що не є призначені для розробників. Правила брандмауера також повинні забороняти вхідні з’єднання на портах 56001 по 57002.
Реагування
Якщо загроза виявлена, негайно ізолюйте уражену кінцеву точку, зберіть викинуті бінарні файли та пов’язані файли, а також проведіть криміналістичний аналіз змін у реєстрі та артефактів запланованих завдань. Будь-які відкриті токени Azure DevOps мають бути анульовані, а компрометовані облікові дані ботів Telegram повинні бути змінені. Потім контент виявлення слід оновити, включаючи виявлені мутекси, імена файлів і мережеві індикатори. Відповідні зацікавлені сторони повинні бути поінформовані, а повідомлення до CERT або постачальників з ураженої служби може бути розглянуто.
"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#ffe699 classDef process fill:#ff9999 classDef shortcut fill:#c2f0c2 classDef registry fill:#c2d6f0 classDef scheduled fill:#f0c2c2 classDef c2 fill:#d9c2f0 %% Node definitions file_openclaw["<b>File</b>: OpenClaw_x64.exe<br/><b>Type</b>: Fake installer"] class file_openclaw file initial_access["<b>Technique</b> – <b>T1204.002 User Execution: Malicious File</b><br/><b>Description</b>: Victim runs malicious installer from openclawu2011installer.com"] class initial_access technique defense_evasion_vm["<b>Technique</b> – <b>T1497.002 Virtualization/Sandbox Evasion: User Activity Based Checks</b><br/><b>Description</b>: Dropper checks for VM, hardware fingerprint and waits for mouse movement"] class defense_evasion_vm technique defense_evasion_firewall["<b>Technique</b> – <b>T1562.004 Impair Defenses: Disable or Modify Firewall</b><br/><b>Description</b>: PowerShell disables Windows Defender and opens inbound ports 56001u201157002"] class defense_evasion_firewall technique tool_powershell["<b>Tool</b>: PowerShell<br/><b>Description</b>: Executes scripts for disabling security components"] class tool_powershell tool execution_reflective["<b>Technique</b> – <b>T1620 Reflective Code Loading</b><br/><b>Description</b>: Decrypted stageu20112 binaries executed in memory via memexec"] class execution_reflective technique execution_injection["<b>Technique</b> – <b>T1055.002 Process Injection: Portable Executable Injection</b><br/><b>Description</b>: svc_service.exe injects payloads using direct NT syscalls"] class execution_injection technique process_svc["<b>Process</b>: svc_service.exe<br/><b>Description</b>: Hosts CLR and performs injection"] class process_svc process persistence_shortcut["<b>Technique</b> – <b>T1547.009 Shortcut Modification</b><br/><b>Description</b>: LNK shortcut placed in Startup folder"] class persistence_shortcut technique file_shortcut["<b>File</b>: OneDriveSync.lnk<br/><b>Location</b>: Startup folder"] class file_shortcut shortcut persistence_hijack["<b>Technique</b> – <b>T1574 Hijack Execution Flow</b><br/><b>Description</b>: Registry changes to WinLogon Userinit, COM hijacking, scheduled task creation"] class persistence_hijack technique node_registry["<b>Registry</b>: WinLogon Userinit modification<br/><b>Action</b>: Alters execution order"] class node_registry registry node_task["<b>Scheduled Task</b>: Logon task<br/><b>Action</b>: Executes payload on user logon"] class node_task scheduled c2_dead_drop["<b>Technique</b> – <b>T1102.001 Web Service: Dead Drop Resolver</b><br/><b>Description</b>: Retrieves C2 domain from Telegram channel description"] class c2_dead_drop technique c2_telegram["<b>C2 Channel</b>: Telegram description"] class c2_telegram c2 c2_bidirectional["<b>Technique</b> – <b>T1102.002 Web Service: Bidirectional Communication</b><br/><b>Description</b>: Communicates via Hookdeck webhook relay and Telegram Bot API"] class c2_bidirectional technique tool_hookdeck["<b>Tool</b>: Hookdeck webhook relay<br/><b>Description</b>: Relays HTTP requests"] class tool_hookdeck tool tool_telegram_bot["<b>Tool</b>: Telegram Bot API<br/><b>Description</b>: Provides bidirectional messaging"] class tool_telegram_bot tool %% Connections file_openclaw –>|triggers| initial_access initial_access –>|leads_to| defense_evasion_vm defense_evasion_vm –>|leads_to| defense_evasion_firewall defense_evasion_firewall –>|executed_by| tool_powershell defense_evasion_firewall –>|leads_to| execution_reflective execution_reflective –>|loads_into| process_svc process_svc –>|performs| execution_injection execution_injection –>|creates| file_shortcut file_shortcut –>|enables| persistence_shortcut persistence_shortcut –>|supports| persistence_hijack persistence_hijack –>|modifies| node_registry persistence_hijack –>|creates| node_task persistence_hijack –>|obtains| c2_dead_drop c2_dead_drop –>|source| c2_telegram c2_dead_drop –>|uses| c2_bidirectional c2_bidirectional –>|relays_via| tool_hookdeck c2_bidirectional –>|communicates_via| tool_telegram_bot "
Потік атак
Виявлення
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через registry_event)
Перегляд
Підозріле виконання з публічного профілю користувача (через process_creation)
Перегляд
Вимкнення моніторингу в реальному часі Windows Defender та інших змін налаштувань (через cmdline)
Перегляд
Підозрілі бінарні файли / скрипти в автозапуску (через file_event)
Перегляд
Підозрілі файли в публічному профілі користувача (через file_event)
Перегляд
Можливе зловживання Telegram як каналом команд і контролю (через dns_query)
Перегляд
IOCs (HashSha256) для виявлення: Hologram OpenClaw: Фальшивий інсталятор постачає Rust-інфостілер
Перегляд
IOCs (SourceIP) для виявлення: Hologram OpenClaw: Фальшивий інсталятор постачає Rust-інфостілер
Перегляд
IOCs (DestinationIP) для виявлення: Hologram OpenClaw: Фальшивий інсталятор постачає Rust-інфостілер
Перегляд
Виявіть маскувані PowerShell полезантаження та маніпуляції з брандмауером [Windows Powershell]
Перегляд
Виявлення зловмисного інсталятора OpenClaw, що доставляє модульну архітектуру [Windows Process Creation]
Перегляд
Імітаційне виконання
Передумова: перевірка телеметрії та базової лінії перед запуском пройшла.
Обґрунтування: цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та наратив безпосередньо відображають виявлені TTPs і спрямовані на генерацію точної телеметрії, очікуваної за логікою виявлення.
-
Опис атаки та команди:
Атака отримує зловмисний фальшивий інсталятор OpenClaw (
OpenClaw_x64.exe).
Користувач, вважаючи його легітимним інструментом гаманця, запускає інсталятор (T1204).
Інсталятор негайно запускає одну команду, яка породжує шість зловмисних полезантажень у один раз, що дозволяє йому обійти пісочні евристичні системи і встановити модульну архітектуру імплантату (T1027.009, T1608.001, T1546.016, T1127).Точна командна лінія, яку очікує правило:
OpenClaw_x64.exe svc_service.exe virtnetwork.exe onedrive_sync.exe audioeq.exe WinHealhCare.exe OneSync.exe -
Скрипт регресійного тесту:
# ------------------------------------------------- # Скрипт імітації – запускає виявлення OpenClaw # ------------------------------------------------- $installerPath = "C:TempOpenClaw_x64.exe" # Переконайтесь, що псевдоінсталятор існує (створіть безпечний замінник) if (-not (Test-Path $installerPath)) { New-Item -ItemType File -Path $installerPath -Force | Out-Null } # Створіть список аргументів, що містять всі шість імен полезантажень $payloads = @( "svc_service.exe", "virtnetwork.exe", "onedrive_sync.exe", "audioeq.exe", "WinHealhCare.exe", "OneSync.exe" ) $argString = $payloads -join " " # Запустіть інсталятор з повною зловмисною командною лінією Write-Host "Запуск зловмисного інсталятора..." Start-Process -FilePath $installerPath -ArgumentList $argString -NoNewWindow # Почекайте кілька секунд, щоб Sysmon / Security зафіксували подію Start-Sleep -Seconds 5 Write-Host "Імітація завершена. Перевірте SIEM для сповіщення." -
Команди очищення:
# ------------------------------------------------- # Скрипт очищення – видаляє артефакти, створені для тесту # ------------------------------------------------- $installerPath = "C:TempOpenClaw_x64.exe" if (Test-Path $installerPath) { Remove-Item -Path $installerPath -Force } # Необов’язково завершити будь-які залишкові процеси псевдопайлотних полезантажень (вони лише замінники) Get-Process -Name "svc_service","virtnetwork","onedrive_sync","audioeq","WinHealhCare","OneSync" -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "Очищення завершено."