Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Операція Poseidon — це кампанія зі spear-фішингу, яка приписується Konni APT, що використовує URL-адреси відстеження/перенаправлення кліків Google і Naver для доставки шкідливих LNK-файлів ярликів. При відкритті LNK запускає AutoIt-завантажувач, який виконує EndRAT переважно в пам’яті. Операція покладається на компрометовані сайти WordPress для хостингу корисних навантажень і служб командування та управління (C2).
Розслідування
Служба безпеки Genians переглянула фішингові електронні листи, вкладені трекінгові маяки та хід виконання від запуску LNK-ярликів до логіки підготовки AutoIt і розгортання EndRAT в пам’яті. Аналітики також відзначили повторне використання інфраструктури та артефактів розробки, включаючи домен jlrandsons.co.uk і шлях збірки D:3_Attack WeaponAutoitBuild__Poseidon – Attackclient3.3.14.a3x.
Захист
Запобігайте виконанню LNK-файлів, доставлених всередині ZIP-архівів, і ретельно перевіряйте ланцюги перенаправлення кліків реклам, що походять з доменів відстеження Google/Naver. Забезпечуйте суворе покриття EDR для діяльності AutoIt і підозрілих процесів (особливо аномальні запуски PowerShell або cmd.exe). Зменшуйте зловживання інфраструктурою, посилюючи безпеку і регулярно виправляючи уразливості WordPress, щоб обмежити їх використання як точки розповсюдження шкідливого ПЗ.
Реагування
Повідомляти про початкові події виконання LNK, відзначати запуски AutoIt.exe, ініційовані взаємодією користувача, і моніторити вихідні підключення до визначених доменів і IP-адрес C2. Ізолюйте підозрілі кінцеві точки і збирайте судові артефакти, включаючи скрипт AutoIt, метадані LNK та будь-які відновлені компоненти EndRAT, для підтримки охоплення й викорінення.
“graph TB %% Class Definitions classDef action fill:#99ccff %% Node definitions node_phishing[“<b>Дія</b> – <b>T1566.001 Spearphishing Attachment</b><br /><b>Опис</b>: Відправити spear-фішинг лист із шкідливим ZIP-файлом, що містить LNK-ярлик.”] class node_phishing action node_user_execution[“<b>Дія</b> – <b>T1204.001 User Execution Malicious Link</b><br /><b>Опис</b>: Жертва натискає URL-адресу перенаправлення (ad.doubleclick.net), яка веде до шкідливого завантаження.”] class node_user_execution action node_lnk_smuggling[“<b>Дія</b> – <b>T1027.012 LNK Icon Smuggling</b><br /><b>Опис</b>: LNK-ярлик ховає шкідливе завантаження за доброзичливим значком і запускає скрипт AutoIt.”] class node_lnk_smuggling action node_autohotkey_autoit[“<b>Дія</b> – <b>T1059.010 Command and Scripting Interpreter AutoHotKey and AutoIT</b><br /><b>Опис</b>: Скрипт AutoIt, який видає себе за PDF, вантажить EndRAT безпосередньо в пам’ять.”] class node_autohotkey_autoit action node_masquerade[“<b>Дія</b> – <b>T1036.008 Маскування типу файлу</b><br /><b>Опис</b>: Шкідливий скрипт представлений з розширенням .pdf, щоб виглядати легітимним.”] class node_masquerade action node_web_service[“<b>Дія</b> – <b>T1102 Веб-сервіс</b><br /><b>Опис</b>: Компрометований сайт WordPress використовується для хостингу корисного навантаження та зв’язку з сервером командування та управління.”] class node_web_service action %% Connections node_phishing u002du002d>|веде до| node_user_execution node_user_execution u002du002d>|веде до| node_lnk_smuggling node_lnk_smuggling u002du002d>|веде до| node_autohotkey_autoit node_autohotkey_autoit u002du002d>|веде до| node_masquerade node_autohotkey_autoit u002du002d>|веде до| node_web_service “
Потік атаки
Виявлення
Можливий шкідливий LNK-файл з подвійним розширенням (через командний рядок)
Перегляд
Бінарний файл AutoIT виконано з незвичайного розташування (через створення процесу)
Перегляд
IOC (DestinationIP) для виявлення: Операція Poseidon: атаки spear-фішингу зловживають механізмами перенаправлення Google Ads
Перегляд
IOC (Emails) для виявлення: Операція Poseidon: атаки spear-фішингу зловживають механізмами перенаправлення Google Ads
Перегляд
IOC (SourceIP) для виявлення: Операція Poseidon: атаки spear-фішингу зловживають механізмами перенаправлення Google Ads
Перегляд
IOC (HashMd5) для виявлення: Операція Poseidon: атаки spear-фішингу зловживають механізмами перенаправлення Google Ads
Перегляд
Аномальні спроби зовнішніх підключень через PowerShell для зв’язку з C2 [Windows PowerShell]
Перегляд
Виконання шкідливих процесів після виконання LNK-файлу [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Перевірка телеметрії та базових показників повинна пройти успішно.
Підстава: Цей розділ описує точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP і націлені на створення точної телеметрії, очікуваної логікою виявлення.
-
Опис атаки та команди:
Зловмисник створює шкідливий ярлик (
malicious.lnk), що вказує наpowershell.exeз закодованою командою для завантаження та виконання корисного навантаження. Ярлик доставляється через spear-фішинг електронний лист. При подвійному кліці Windows Explorer обробляє.lnk, створюючиpowershell.exeяк дочірній процес LNK. Такий точний зв’язок батько-дитина відповідає правилу Sigmaexecution_after_LNKумова. -
Скрипт для тестування на регресію:
# ------------------------------------------------------------- # Створення шкідливого LNK, що запускає PowerShell з закодованою командою # ------------------------------------------------------------- $WshShell = New-Object -ComObject WScript.Shell # Шлях, де буде створено LNK (Робочий стіл) $lnkPath = "$Env:UserProfileDesktopmalicious.lnk" # Цільове виконуване $target = "$Env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" # Приклад закодованої команди (створює текстовий файл як безпечний індикатор) $plainCmd = "New-Item -Path $Env:Tempposeidon_test.txt -ItemType File -Force" $bytes = [System.Text.Encoding]::Unicode.GetBytes($plainCmd) $encoded = [Convert]::ToBase64String($bytes) $arguments = "-EncodedCommand $encoded" $shortcut = $WshShell.CreateShortcut($lnkPath) $shortcut.TargetPath = $target $shortcut.Arguments = $arguments $shortcut.Save() Write-Host "LNK створено в $lnkPath" # ------------------------------------------------------------- # Виконання LNK для запуску правила виявлення # ------------------------------------------------------------- Start-Process -FilePath $lnkPath # ------------------------------------------------------------- # Опціонально: пауза для SIEM # ------------------------------------------------------------- Start-Sleep -Seconds 10 # ------------------------------------------------------------- # Очищення (видалити індикаторний файл, LNK та індикатор) # ------------------------------------------------------------- Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue Write-Host "Очистка завершена." -
Команди очищення: (якщо вищезгаданий скрипт не використовувався)
# Видалення будь-яких індикаторних файлів, створених під час теста Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue # Видалення шкідливого ярлика $lnkPath = "$Env:UserProfileDesktopmalicious.lnk" Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue Write-Host "Тестові артефакти видалено."