RAT на базі Rebex з Telegram, що націлений на В’єтнам

Ruslan Mikhalov Керівник досліджень загроз у SOC Prime

Стежити

RAT на базі Rebex з Telegram, що націлений на В’єтнам

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Зловмисний CHM файл, доставлений у ZIP архіві, встановлює небезпечне середовище виконання Python разом із C++ DLL, яка розшифровує вбудоване навантаження. Це навантаження встановлює стійкість через захоплення оболонки Winlogon, заплановане завдання та зловживання MSBuild, а потім запускає Telegram RAT на базі .NET. Шкідливе програмне забезпечення взаємодіє з ботом Telegram, використовуючи заздалегідь закодований токен, і підтримує виконання команд, заміну токенів та завантаження файлів. Кампанія була сфотографована, націлена на жертв у В’єтнамі, і в даний час не має виявлень на VirusTotal.

Розслідування

Аналіз файлу CHM виявив скрипт, який декомпілював архів, очистив PYTHONHOME, і запустив перейменований виконуваний файл Python із скомпільованим байткод файлом. Байткод потім завантажив DLL, що розшифровувала зашифрований DOCX блоб, вилучила додаткові компоненти і записала їх у тимчасові місця. DLL створив записи реєстру, запланував завдання під назвою Doubt, і виконав MSBuild XML файл для завантаження другої DLL, яка зрештою розгорнула Telegram RAT на базі .NET. RAT покладається на заздалегідь закодовані облікові дані бота Telegram для командного управління.

Захист

Оборонці повинні блокувати виконання CHM файлів з ненадійних джерел і обмежувати використання hh.exe, msbuild.exe, та PowerShell для непідписаних або підозрілих скриптів. Моніторинг повинен бути зосереджений на модифікаціях реєстру Winlogon Shell незвичайні створення запланованих завдань та нові скинуті DLL у тимчасових каталогах. Організації також повинні інспектувати трафік API Telegram через проксі-контроль і забезпечувати доступ з мінімальними привілеями для кінцевих користувачів.

Реакція

Команди безпеки повинні ідентифікувати та ізолювати уражені хости, зібрати летючу інформацію та вилучити шкідливі DLL та скрипти для аналізу. Значення Winlogon Shell та заплановане завдання повинні бути видалені, скинуті файли – видалені, а змінені параметри реєстру повернені до відомого гарного стану. Будь-які викриті токени бота Telegram слід негайно замінити, і оборонці повинні продовжувати моніторинг на додаткову активність командного контролю. Рекомендується повне судово-експертне розслідування, щоб визначити, чи були дані викрадені.

"graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef registry fill:#ffddaa %% Вузли initial_access_phishing["Дія – T1566.001 Spearphishing Attachment Електронна пошта зі зловмисним CHM, замаскованим під документ Word, відправляється потерпілому."] class initial_access_phishing action file_chm["Шкідливе ПЗ – Файл: CV – Vu PLPC KT nam 2026.chm Замасковано подвійним розширенням, щоб виглядати як .doc."] class file_chm malware defense_masquerade["Дія – T1036.008 Masquerading Файл CHM маскується як документ Word за допомогою подвійного розширення."] class defense_masquerade action defense_obfuscation["Дія – T1027.006 Obfuscated Files or Information HTML приховує зловмисний код всередині CHM."] class defense_obfuscation action execution_user["Дія – T1204.002 User Execution Жертва відкриває CHM, HTML/JS запускає тег OBJECT, що запускає cmd.exe."] class execution_user action process_cmd["Процес – cmd.exe Запущено CHM через тег OBJECT."] class process_cmd process execution_msbuild["Дія – T1127.001 Trusted Developer Utilities Proxy Execution Скрипт скидає mechaniSm.xml і викликає msbuild.exe для завантаження зловмисної .NET DLL."] class execution_msbuild action tool_msbuild["Інструмент – msbuild.exe Використовується для завантаження ioy24euj.dll."] class tool_msbuild tool file_dll["Шкідлива програма – DLL: ioy24euj.dll Містить код .NET для забезпечення стійкості та доставки навантаження."] class file_dll malware persistence_autostart["Дія – T1547.014 Active Setup DLL змінює HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell, щоб вказати на перейменований обгорткач msbuild."] class persistence_autostart action registry_mod["Реєстр – HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell Задано на користувацький обгорткач msbuild для автозапуску."] class registry_mod registry persistence_event["Дія – T1546.009 AppCert DLLs DLL завантажено за допомогою ctypes.CDLL і пізніше виконано для розшифрування подальших навантажень."] class persistence_event action dll_load["Процес – ctypes.CDLL load Завантажує шкідливе DLL у простір процесу."] class dll_load process privilege_injection["Дія – T1055.001 Process Injection DLL ін’ячить код у cmd.exe для запуску навантажень."] class privilege_injection action process_injection["Процес – DLL ін’єкція в cmd.exe Дозволяє виконання подальших шкідливих рутин."] class process_injection process command_and_control["Дія – T1573 Encrypted Channel .NET RAT спілкується з ботом Telegram, використовуючи ксіор-зашифровані та base64 закодовані повідомлення."] class command_and_control action c2_telegram["Інструмент – Telegram bot Отримує команди та ексфільтрує дані через зашифрований канал."] class c2_telegram tool impact_shutdown["Дія – T1529 System Shutdown/Reboot Заплановане завдання u201cDoubtu201d створено для вимкнення системи кожної п’ятниці в північ."] class impact_shutdown action scheduled_task["Процес – Заплановане завдання u201cDoubtu201d Тригери вимкнення системи за розкладом."] class scheduled_task process %% Відносини initial_access_phishing –>|доставляє| file_chm file_chm –>|використовує| defense_masquerade file_chm –>|використовує| defense_obfuscation file_chm –>|тригерить| execution_user execution_user –>|запускає| process_cmd process_cmd –>|дозволяє| execution_msbuild execution_msbuild –>|використовує| tool_msbuild tool_msbuild –>|завантажує| file_dll file_dll –>|дозволяє| persistence_autostart persistence_autostart –>|змінює| registry_mod file_dll –>|дозволяє| persistence_event persistence_event –>|завантажує через| dll_load dll_load –>|виконує| privilege_injection privilege_injection –>|ін’яєктує в| process_injection process_injection –>|сприяє| command_and_control command_and_control –>|використовує| c2_telegram command_and_control –>|призводить до| impact_shutdown impact_shutdown –>|створює| scheduled_task "

Потік Атаки

Наратива та команди атаки
1. Доставка: Зловмисник доставляє шкідливий .chm файл (названий UpdateHelp.chm) потерпілому.
2. Декомпіляція: Жертва (або зловмисний скрипт) запускає hh.exe з прапором -decompile щоб витягнути вбудоване навантаження:
```
hh.exe -decompile C:TempPayloads C:UsersPublicUpdateHelp.chm
```
  Це генерує подію створення процесу яку спостерігає правило (hh.exe + -decompile).
3. Виконання навантаження – перейменований інтерпретатор: Всередині витягнутих файлів є перейменований інтерпретатор Python (_pJifgWSwPi.exe). Зловмисник запускає його через cmd.exe щоб зберегти низький профіль:
```
cmd.exe /c "C:TempPayloads_pJifgWSwPi.exe -c "import os; os.system('whoami')""
```
  Це задовольняє умову правила. cmd.exe Підписаний проксі – Msbuild:
4. Навантаження Python записує шкідливий файл, а потім викликає файл, а потім викликає для його виконання, досягаючи стійкості або подальшого виконання коду: msbuild.exe Сценарій тесту регресії
```
Сценарій тесту регресії
```
#============================================================= # Симуляція атаки на основі CHM – активує Sigma Rule #============================================================= # Змінні $chmPath = “C:UsersPublicUpdateHelp.chm” $outFolder = “C:TempPayloads” $renamedPy = “_pJifgWSwPi.exe” $projFile = “malicious.proj” # 1. Переконайтеся, що існує вихідна папка New-Item -ItemType Directory -Force -Path $outFolder | Out-Null # 2. Симуляція декомпіляції файлу CHM Write-Host “[*] Декомпіляція CHM…” hh.exe -decompile $outFolder $chmPath # 3. Розмістіть копію python.exe (або будь-якого безпечного exe) як перейменований інтерпретатор Copy-Item -Path “$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe” ` -Destination “$outFolder$renamedPy” -Force # 4. Виконайте перейменований інтерпретатор через cmd.exe Write-Host “[*] Запуск перейменованого інтерпретатора через cmd.exe…” cmd.exe /c “`”$outFolder$renamedPy`” -c `”Write-Host ‘Симульоване навантаження виконано’`”” # 5. Створіть тривіальний проект msbuild, який виводить повідомлення $projContent = @” <Проект ToolsVersion=’4.0′ xmlns=’http://schemas.microsoft.com/developer/msbuild/2003′> <Цільове завдання Name=’Build’> <Повідомлення Текст=’Msbuild виконано шкідливий проект’ Важливість=’Висока’/> </Цільове завдання> </Проект> “@ Set-Content -Path “$outFolder$projFile” -Value $projContent -Encoding ASCII # 6. Запустіть msbuild.exe на шкідливому проекті Write-Host “[*] Виконання msbuild.exe…” msbuild.exe “$outFolder$projFile” /target:Build Write-Host “[+] Симуляція завершена.”
```
Команди очищення
```

Cleanup Commands

# Зупиніть будь-які процеси, що залишились (якщо все ще працюють)
Get-Process -Name "_pJifgWSwPi","hh","msbuild","cmd" -ErrorAction SilentlyContinue |
  Stop-Process -Force

# Видаліть генеровані файли та папки
Remove-Item -Recurse -Force -Path "C:TempPayloads"
# За бажанням видаліть файл CHM, якщо він був створений для тесту
Remove-Item -Force -Path "C:UsersPublicUpdateHelp.chm" -ErrorAction SilentlyContinue

Write-Host "[+] Очищення завершено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно