Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники використовували Net Monitor for Employees та платформу дистанційного керування SimpleHelp для підтримання постійного доступу до мереж жертв. Використовуючи легальні комерційні інструменти, зловмисники змішувалися з законними процесами, завантажуючи наступні корисні навантаження та намагаючись розгорнути Crazy ransomware (варіант VoidCrypt). Перекриття інфраструктури—спільні C2 домени та IP адреси—натякає на одного оператора в обох інцидентах. Діяльність мотивована отриманням прибутку, комбінуючи моніторинг викрадення облікових даних/криптовалюти з спробами вимагання викупу через програму-вимагач.
Розслідування
Huntress задокументував два вторгнення в початку 2026 року, де Net Monitor for Employees дозволяв зворотну оболонку та маскування сервісів, в той час як SimpleHelp забезпечував резервну стійкість. Аналітики спостерігали завантаження перейменованого vhost.exe, виконання winpty-agent.exe та спроби послабити захист шляхом підміни налаштувань Windows Defender. Початковий доступ також включав компрометовані VPN-акредитації, а інструменти були встановлені через тихе виконання msiexec. Було скинуто кілька копій бінарника Crazy ransomware (encrypt.exe), але етап із ransomware не вдався.
Захист
Пріоритизуйте багатофакторну автентифікацію для всіх шляхів дистанційного доступу, мінімізуйте кількість привілейованих акаунтів і сегментуйте мережі, щоб обмежити бічний рух. Агресивно перевіряйте інструменти адміністрування третьої сторони та сповіщайте про підозрілі процеси, тихі встановлення msiexec та маскування імен сервісів. Заблокуйте або стежте за відомою C2-інфраструктурою та використовуйте контроль додатків, щоб запобігти виконанню неавторизованих RMM-бінарників.
Відповідь
Якщо виявлено, ізолюйте уражені системи, зупиніть шкідливі процеси та видаліть неавторизовані RMM-сервіси. Збережіть ключові артефакти (бінарники, сліди установника, журнали), заблокуйте пов’язані C2 домени/IP-адреси та скиньте всі скомпрометовані дані автентифікації. Проведіть інвентаризацію інструментів адміністрування, щоб перевірити легітимність, а потім виправте зміни в реєстрі та скасуйте всі спроби підміни Windows Defender або вимкнення засобів безпеки.
“graph TB %% Class Definitions classDef technique fill:#e0f7fa classDef tool fill:#ffe0b2 classDef process fill:#d1c4e9 %% Nodes step1[“<b>Техніка</b> – T1078 Дійсні облікові записи<br/>Компрометовані облікові дані VPN використовувалися для віддаленого доступу.”] class step1 technique step2[“<b>Техніка</b> – T1021.001 Віддалені сервіси: Протокол віддаленого робочого стола<br/>RDP використовувався для доступу до контролера домена.”] class step2 technique step3[“<b>Техніка</b> – T1218.007 Системне виконання проксі бінариев: Msiexec<br/>Тихо встановлено Net Monitor for Employees MSI.”] class step3 technique tool_msiexec[“<b>Інструмент</b> – Msiexec<br/><b>Призначення</b>: Встановлення MSI пакетів”] class tool_msiexec tool step4[“<b>Техніка</b> – T1036 Маскування<br/>Сервіс зареєстровано як OneDriveSvc, процес перейменовано з OneDriver.exe на svchost.exe.”] class step4 technique step5[“<b>Техніка</b> – T1136.002 Створення облікового запису: Доменний обліковий запис<br/>Активовано вбудований адміністратор, створено нові акаунти.”] class step5 technique step5b[“<b>Техніка</b> – T1136.001 Створення облікового запису: Локальний обліковий запис”] class step5b technique step5c[“<b>Техніка</b> – T1098.007 Додаткові локальні або доменні групи<br/>Додано облікові записи до привілейованих груп.”] class step5c technique step6[“<b>Техніка</b> – T1012 Запит реєстру<br/>Змінен реєстр для вимкнення Windows Defender.”] class step6 technique step6b[“<b>Техніка</b> – T1553 Підрив довіри контролів<br/>Вимкнено засоби безпеки.”] class step6b technique step7[“<b>Техніка</b> – T1059.001 PowerShell<br/>Використовувався winptyu2011agent.exe для завантаження vhost.exe (SimpleHelp).”] class step7 technique tool_winpty[“<b>Інструмент</b> – winptyu2011agent.exe<br/><b>Функція</b>: Завантажувач завантажувальних пакетів PowerShell”] class tool_winpty tool malware_simplehelp[“<b>Шкідливе ПЗ</b> – vhost.exe (SimpleHelp)”] class malware_simplehelp process step8[“<b>Техніка</b> – T1102 Вебсервіс<br/>Двосторонній та односторонній зв’язок через HTTPS з використанням фронтингу доменів.”] class step8 technique step8b[“<b>Техніка</b> – T1090.004 Фронтинг домену<br/>Трафік HTTPS до dronemaker.org та інших шлюзів.”] class step8b technique step9[“<b>Technique</b> – T1087.001 Виявлення акаунтів: Локальний обліковий запис<br/>Перераховані локальні облікові записи через net-команди.”] class step9 technique step9b[“<b>Техніка</b> – T1087.002 Виявлення акаунтів: Доменний обліковий запис<br/>Перераховані доменні облікові записи.”] class step9b technique step10[“<b>Техніка</b> – T1486 Шифрування даних для впливу<br/>Спроба розгортання Crazy ransomware.”] class step10 technique malware_crazy[“<b>Шкідливе ПЗ</b> – Crazy ransomware”] class malware_crazy process step10b[“<b>Техніка</b> – T1027.009 Маскування файлів або інформації: Вбудовані завантаження<br/>Кілька зашифрованих бінарників.”] class step10b technique step11[“<b>Техніка</b> – T1574.010 Викрадення виконання: Слабкість дозволів файлів сервісів<br/>Перейменовані бінарники і сервіси для надання їм легітимного вигляду.”] class step11 technique %% Connections step1 u002du002d>|причиняє| step2 step2 u002du002d>|причиняє| step3 step3 u002du002d>|використовує| tool_msiexec step3 u002du002d>|причиняє| step4 step4 u002du002d>|причиняє| step5 step5 u002du002d>|відноситься до| step5b step5b u002du002d>|відноситься до| step5c step5c u002du002d>|причиняє| step6 step6 u002du002d>|змінює| step6b step6b u002du002d>|причиняє| step7 step7 u002du002d>|використовує| tool_winpty tool_winpty u002du002d>|завантажує| malware_simplehelp malware_simplehelp u002du002d>|причиняє| step8 step8 u002du002d>|використовує| step8b step8b u002du002d>|причиняє| step9 step9 u002du002d>|причиняє| step9b step9b u002du002d>|причиняє| step10 step10 u002du002d>|доставляє| malware_crazy malware_crazy u002du002d>|відноситься до| step10b step10b u002du002d>|причиняє| step11 “
Хід атаки
Виявлення
Можливе виявлення конфігурації мережевої системи (через cmdline)
Переглянути
Підозрілі спроби прихованого встановлення MsiExec Remote Installer (через cmdline)
Переглянути
Завантаження або вивантаження через PowerShell (через cmdline)
Переглянути
Підозрілі бінарні файли/скрипти в Autostart Location (через file_event)
Переглянути
IOC (DestinationIP) для виявлення: Зловживання програмним забезпеченням моніторингу працівників та SimpleHelp в операціях з програмами-вимагачами
Переглянути
IOC (SourceIP) для виявлення: Зловживання програмним забезпеченням моніторингу працівників та SimpleHelp в операціях з програмами-вимагачами
Переглянути
IOC (HashSha256) для виявлення: Зловживання програмним забезпеченням моніторингу працівників та SimpleHelp в операціях з програмами-вимагачами
Переглянути
Завантаження потенційно шкідливого файлу через PowerShell [Windows Powershell]
Переглянути
Виявлення шкідливого використання програмного забезпечення моніторингу працівників та SimpleHelp у операціях з програмами-вимагачами [Створення процесу Windows]
Переглянути
Імітація виконання
Умова: Перевірка телеметрії та базового рівня повинна бути пройдена.
Мотив: Цей розділ деталізує точне виконання техніки супротивника (TTP), розробленої для спрацювання правила виявлення. Команди і опис ПОВИННІ прямо відображати виявлені TTP і прагнути генерувати саме ту телеметрію, яку очікує логіка виявлення.
-
Сценарій атаки та команди:
- Підготовка: Зловмисник копіює безпечний бінарний файл Windows (
calc.exe) у файл з назвоюnmep_agtconfig.exe, суфікс, який контролюється SimpleHelp агентом. - Виконання: Перейменований бінарний файл запускається, спричиняючи реєстрацію Sysmon події створення процесу, у якому
Зображеннязакінчується наnmep_agtconfig.exe. - Після виконання: Зловмисник за бажанням виконує однолінійний скрипт PowerShell всередині породженого процесу, щоб імітувати виконання команди (проілюстровано T1059), але ця додаткова поведінка не є обов’язковою для спрацювання правила.
- Підготовка: Зловмисник копіює безпечний бінарний файл Windows (
-
Скрипт регресійного тесту:
# Скрипт імітації – активує Sigma правило $src = "$env:SystemRootSystem32calc.exe" $dst = "$env:Tempnmep_agtconfig.exe" # Копіюйте calc.exe з іменем, що маскує Copy-Item -Path $src -Destination $dst -Force # Виконуйте маскуваний бінарник $proc = Start-Process -FilePath $dst -PassThru # Опціонально: у межах тієї ж сесії, виконайте нешкідливу команду, щоб згенерувати телеметрію командного рядка Start-Process -FilePath "powershell.exe" -ArgumentList '-NoProfile -Command "Write-Host Симульоване навантаження."' -NoNewWindow # Виведіть PID для очищення Write-Output "Spawned PID: $($proc.Id)" -
Команди для очищення:
# Завершення маскованого процесу, якщо він ще працює Get-Process -Name "nmep_agtconfig" -ErrorAction SilentlyContinue | Stop-Process -Force # Видалення файлу з диска Remove-Item -Path "$env:Tempnmep_agtconfig.exe" -Force