Кампанія Pawn Storm впроваджує PRISMEX, націлюється на урядові та критично важливі інфраструктурні об’єкти
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Якщо виявлена активність PRISMEX, негайно ізолюйте уражені системи, захопіть мінливу пам’ять для вилучення завантажених у пам’ять .NET збірок, та полюйте за характерними стеганографічними PNG носіями та реєстраційними записами захоплення COM. Заблокуйте всі Filen.io субдомени та wellnesscaremed.com домен, та застосуйте виявлення та блокування на основі ІОС для визначених імен файлів і запланованого завдання.
Відповідь
Організації мають без затримки оновити CVE-2026-21509 та CVE-2026-21513, обмежити доступ до несанкціонованих хмарних сховищ, та вимкнути об’єкт Shell.Explorer.1 COM через реєстр. Захисники повинні забезпечити виконання обмежень макросів, моніторинг реєстрації COM під HKCU\Software\Classes\CLSID, і переглядати підозрілі заплановані завдання, такі як OneDriveHealth. Також повинно бути увімкнене журналювання ETW для виявлення несподіваних завантажень CLR всередині explorer.exe.
Пом’якшення
Дослідники з TrendAI ідентифікували компоненти інструментального набору PRISMEX — PrismexSheet, PrismexDrop, PrismexLoader і PrismexStager — та пов’язали їх з попередньою активністю Pawn Storm. Вони виявили докази того, що нападники підготували інфраструктуру за кілька тижнів до того, як уразливості були офіційно оприлюднені, і задокументували використання загального домену C2, wellnesscaremed.com. Дослідження також співвіднесло техніки MITRE ATT&CK, що використовувались протягом всього ланцюга проникнення.
Розслідування
Pawn Storm (APT28) розпочав кампанію, зосереджену на новому наборі зловмисного програмного забезпечення під назвою PRISMEX, яка націлена на український ланцюг постачань оборони, а також на урядові й логістичні організації союзників. Операція використовує дві щойно виявлені вразливості нульового дня, CVE-2026-21509 і CVE-2026-21513, при цьому зловживаючи легітимними хмарними платформами для керування командою та контролем. Інструментарій включає стеганографічні завантажувачі, захоплення COM для стійкості, та завантажувач Covenant Grunt, розміщений на Filen.io. Виявлення залишається складним через безфайлове виконання та зашифрований мережевий трафік.
"граф TB %% Визначення класів classDef action заповнення:#99ccff classDef exploit заповнення:#ffcc99 classDef file заповнення:#ffeb99 classDef malware заповнення:#ff9999 classDef tool заповнення:#cccccc classDef c2 заповнення:#ccffcc %% Вузли step1_phishing["<b>Дія</b> – <b>T1566.001 Фішинг: Приєднання Спірфішингу</b><br/>Супротивники надсилають цільові RTF документи з шкідливими OLE об’єктами жертвам."] class step1_phishing дія artifact_rtf["<b>Файл</b> – <b>Назва</b>: Зловмисний RTF документ<br/>Містить розроблений OLE об’єкт"] class artifact_rtf файл step2_vba["<b>Дія</b> – <b>T1059.005 Інтерпретатор команд та сценаріїв: Visual Basic</b><br/>Вбудований макрос VBA автоувіктримує на відкритті документа."] class step2_vba дія step3_exploit["<b>Експлойт</b> – CVEu20112026u201121509 OLE обхід<br/>Макрос контактує зі шкідливим сервером WebDAV і завантажує .lnk"] class step3_exploit експлойт artifact_lnk["<b>Файл</b> – <b>Назва</b>: Зловмисне .lnk ярлик"] class artifact_lnk файл step4_html["<b>Дія</b> – <b>T1218.001 Виконання системного двійкового проксіфайлу: Скомпільований HTML файл</b><br/>.lnk активує CVEu20112026u201121513 в MSHTML, виконуючи вбудований HTML корисний навантажувач."] class step4_html дія artifact_html["<b>Файл</b> – <b>Назва</b>: Вбудований HTML корисний навантажувач"] class artifact_html файл step5_com_hijack["<b>Дія</b> – <b>T1546.009 Виконання, спричинене подією: AppCert DLLs</b><br/>Корисне навантаження реєструє зловмисний DLL як InProcServer32 для CLSID для постійності."] class step5_com_hijack дія malicious_dll["<b>Зловмисне ПЗ</b> – <b>Назва</b>: PrismexLoader DLL<br/>Зображається як легітимний Windows DLL"] class malicious_dll зловмисне ПЗ step6_dll_hijack["<b>Дія</b> – <b>T1574.001 Захоплення виконуваного потоку: DLL</b><br/>Проксі DLL перенаправляє легітимні виклики, виконуючи шкідливий код."] class step6_dll_hijack дія step7_stego["<b>Дія</b> – <b>T1027.003 Обфусковані файли або інформація: Стеганографія</b><br/>Проксі DLL витягує .NET корисне навантаження, приховане в PNG, використовуючи Bit Plane Round Robin."] class step7_stego дія stego_png["<b>Файл</b> – <b>Назва</b>: PNG зображення з прихованим корисним навантаженням"] class stego_png файл dotnet_payload["<b>Зловмисне ПЗ</b> – <b>Назва</b>: .NET Covenant Grunt stager"] class dotnet_payload зловмисне ПЗ step8_c2["<b>Дія</b> – <b>T1102 Веб-сервіс</b><br/>Stager здійснює зв’язок з субдоменами хмарного сховища Filen.io для C2."] class step8_c2 дія c2_filen["<b>C2</b> – Хмарне сховище Filen.io"] class c2_filen c2 step9_exfil["<b>Дія</b> – <b>T1567.002 Експілютація через веб-сервіс: Експілютація до хмарного сховища</b><br/>Зібрані дані зашифровані та завантажені на Filen.io."] class step9_exfil дія step10_email["<b>Дія</b> – <b>T1114.001 Збір електронної пошти: Локальний збір електронної пошти</b><br/>Зловмисне ПЗ збирає файли поштових скриньок Outlook для розвідки."] class step10_email дія outlook_data["<b>Файл</b> – <b>Назва</b>: Файли поштових скриньок Outlook (OST/PST)"] class outlook_data файл %% З’єднання step1_phishing –>|доставляє| artifact_rtf artifact_rtf –>|активує| step2_vba step2_vba –>|виконує| step3_exploit step3_exploit –>|завантажує| artifact_lnk artifact_lnk –>|активує| step4_html step4_html –>|запускає| artifact_html artifact_html –>|завантажує| step5_com_hijack step5_com_hijack –>|реєструє| malicious_dll malicious_dll –>|завантажує| step6_dll_hijack step6_dll_hijack –>|витягує| step7_stego step7_stego –>|читає| stego_png stego_png –>|містить| dotnet_payload dotnet_payload –>|спілкується з| step8_c2 step8_c2 –>|використовує| c2_filen dotnet_payload –>|експілює дані через| step9_exfil step9_exfil –>|зберігає в| c2_filen step10_email –>|збирає| outlook_data dotnet_payload –>|збирає електронну пошту з| outlook_data %% Призначення класа class step1_phishing,step2_vba,step3_exploit,step4_html,step5_com_hijack,step6_dll_hijack,step7_stego,step8_c2,step9_exfil,step10_email дія class artifact_rtf,artifact_lnk,artifact_html,stego_png,outlook_data файл class malicious_dll,dotnet_payload зловмисне ПЗ class step3_exploit step4_html step5_com_hijack step6_dll_hijack step7_stego експлойт class c2_filen c2 "
Потік атак
Виявлення
Підозрілі двійкові файли / сценарії в автозапуску (через file_event)
Перегляд
Можливе неконтрольоване впровадження / ексфільтрація даних / C2 через сторонні сервіси / інструменти (через dns)
Перегляд
Можливе неконтрольоване впровадження / ексфільтрація даних / C2 через сторонні сервіси / інструменти (через проксі-сервери)
Перегляд
Можливе захоплення COM Explorer (через registry_event)
Перегляд
Можлива стійкість на базі Outlook (через file_event)
Перегляд
Можливе захоплення COM Explorer (через file_event)
Перегляд
ІОС (HashSha256) для виявлення: Кампанія Pawn Storm розгортає PRISMEX, націлюється на уряди та критичні інфраструктури
Перегляд
Виявлення незвичного ініціалізування CLR в процесі Explorer [Створення процесу Windows]
Перегляд
Прив’язка COM Hijacking PrismexSheet для стійкості [Подія реєстру Windows]
Перегляд
Емуляція виконання
Попередня умова: Телеметрія та базовий тест передпольотний перевірка повинні пройдено.
Мотиви: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для активації правила виявлення. Команди та наратив повинні напряму відображати ідентифіковані TTP і мають на меті створити точну телеметрію, очікувану логікою виявлення. Абстрактні або нерелевантні приклади призведуть до неправильної діагностики.
-
Наратив атаки та команди:
- Зловмисник отримав зловмисний DLL (
evil.dll) розміщено в записуваній директорії (наприклад,C:Tempevil.dll). - Щоб досягти стійкості, вони обирають CLSID
{68DDBB56-9D1D-4FD9-89C5-C0DA2A625392}(один з GUID, відстежених правилом). - Використовуючи вбудований
reg.exe(або PowerShell), вони встановлюють значення за замовчуванням дляInProcServer32підключення до шляху до зловмисного DLL, таким чином захоплюючи будь-яку активацію COM цього CLSID. - Зміни у реєстрі генерують вхід із EventID 13 з точним
TargetObjectщо відповідає правилу виявлення.
- Зловмисник отримав зловмисний DLL (
-
Сценарій регресійного тестування:
# ------------------------------------------------- # Емуляція стійкості hijaking COM PrismexSheet # ------------------------------------------------- $guid = '{68DDBB56-9D1D-4FD9-89C5-C0DA2A625392}' $dllPath = "C:Tempevil.dll" # Впевніться, що існує зловмисний DLL (заповнювач для тесту) if (-not (Test-Path $dllPath)) { New-Item -Path $dllPath -ItemType File -Force | Out-Null Set-Content -Path $dllPath -Value "Заповнювач зловмисного навантаження" } $regPath = "HKCU:SoftwareClassesCLSID$guidInProcServer32" # Створіть ключ, якщо він не існує New-Item -Path $regPath -Force | Out-Null # Встановіть значення за замовчуванням для вказівки на зловмисний DLL Set-ItemProperty -Path $regPath -Name '(Default)' -Value $dllPath Write-Host "Захоплення COM зафіксоване в $regPath -> $dllPath" -
Команди очищення:
# Видаліть зловмисну реєстрацію COM $guid = '{68DDBB56-9D1D-4FD9-89C5-C0DA2A625392}' $regPath = "HKCU:SoftwareClassesCLSID$guid" Remove-Item -Path $regPath -Recurse -Force # Видаліть фіктивний DLL Remove-Item -Path "C:Tempevil.dll" -Force -ErrorAction SilentlyContinue Write-Host "Очищення завершено."