RAT на базі Rebex з Telegram, що націлений на В’єтнам

Резюме

Зловмисний CHM файл, доставлений у ZIP архіві, встановлює небезпечне середовище виконання Python разом із C++ DLL, яка розшифровує вбудоване навантаження. Це навантаження встановлює стійкість через захоплення оболонки Winlogon, заплановане завдання та зловживання MSBuild, а потім запускає Telegram RAT на базі .NET. Шкідливе програмне забезпечення взаємодіє з ботом Telegram, використовуючи заздалегідь закодований токен, і підтримує виконання команд, заміну токенів та завантаження файлів. Кампанія була сфотографована, націлена на жертв у В’єтнамі, і в даний час не має виявлень на VirusTotal.

Розслідування

Аналіз файлу CHM виявив скрипт, який декомпілював архів, очистив PYTHONHOME, і запустив перейменований виконуваний файл Python із скомпільованим байткод файлом. Байткод потім завантажив DLL, що розшифровувала зашифрований DOCX блоб, вилучила додаткові компоненти і записала їх у тимчасові місця. DLL створив записи реєстру, запланував завдання під назвою Doubt, і виконав MSBuild XML файл для завантаження другої DLL, яка зрештою розгорнула Telegram RAT на базі .NET. RAT покладається на заздалегідь закодовані облікові дані бота Telegram для командного управління.

Захист

Оборонці повинні блокувати виконання CHM файлів з ненадійних джерел і обмежувати використання hh.exe, msbuild.exe, та PowerShell для непідписаних або підозрілих скриптів. Моніторинг повинен бути зосереджений на модифікаціях реєстру Winlogon Shell незвичайні створення запланованих завдань та нові скинуті DLL у тимчасових каталогах. Організації також повинні інспектувати трафік API Telegram через проксі-контроль і забезпечувати доступ з мінімальними привілеями для кінцевих користувачів.

Реакція

Команди безпеки повинні ідентифікувати та ізолювати уражені хости, зібрати летючу інформацію та вилучити шкідливі DLL та скрипти для аналізу. Значення Winlogon Shell та заплановане завдання повинні бути видалені, скинуті файли – видалені, а змінені параметри реєстру повернені до відомого гарного стану. Будь-які викриті токени бота Telegram слід негайно замінити, і оборонці повинні продовжувати моніторинг на додаткову активність командного контролю. Рекомендується повне судово-експертне розслідування, щоб визначити, чи були дані викрадені.

Виконання симуляції

Передумова: Перевірка телеметрії та базової лінії повинна бути пройдена.

Обґрунтування: Цей розділ деталізує точне виконання техніки супротивника (TTP), розробленої для активації правила виявлення. Команди та текст точно відображають виявлені TTP і мають на меті згенерувати очікувану телеметрію для логіки виявлення.

• Наратива та команди атаки

  1. Доставка: Зловмисник доставляє шкідливий .chm файл (названий UpdateHelp.chm) потерпілому.

  2. Декомпіляція: Жертва (або зловмисний скрипт) запускає hh.exe з прапором -decompile щоб витягнути вбудоване навантаження:

     hh.exe -decompile C:TempPayloads C:UsersPublicUpdateHelp.chm

     Це генерує подію створення процесу яку спостерігає правило (hh.exe + -decompile).

  3. Виконання навантаження – перейменований інтерпретатор: Всередині витягнутих файлів є перейменований інтерпретатор Python (_pJifgWSwPi.exe). Зловмисник запускає його через cmd.exe щоб зберегти низький профіль:

     cmd.exe /c "C:TempPayloads_pJifgWSwPi.exe -c "import os; os.system('whoami')""

     Це задовольняє умову правила. cmd.exe Підписаний проксі – Msbuild:

  4. Навантаження Python записує шкідливий файл, а потім викликає файл, а потім викликає для його виконання, досягаючи стійкості або подальшого виконання коду: msbuild.exe Сценарій тесту регресії

     Сценарій тесту регресії

• #============================================================= # Симуляція атаки на основі CHM – активує Sigma Rule #============================================================= # Змінні $chmPath = “C:UsersPublicUpdateHelp.chm” $outFolder = “C:TempPayloads” $renamedPy = “_pJifgWSwPi.exe” $projFile = “malicious.proj” # 1. Переконайтеся, що існує вихідна папка New-Item -ItemType Directory -Force -Path $outFolder | Out-Null # 2. Симуляція декомпіляції файлу CHM Write-Host “[*] Декомпіляція CHM…” hh.exe -decompile $outFolder $chmPath # 3. Розмістіть копію python.exe (або будь-якого безпечного exe) як перейменований інтерпретатор Copy-Item -Path “$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe” ` -Destination “$outFolder$renamedPy” -Force # 4. Виконайте перейменований інтерпретатор через cmd.exe Write-Host “[*] Запуск перейменованого інтерпретатора через cmd.exe…” cmd.exe /c “`”$outFolder$renamedPy`” -c `”Write-Host ‘Симульоване навантаження виконано’`”” # 5. Створіть тривіальний проект msbuild, який виводить повідомлення $projContent = @” <Проект ToolsVersion=’4.0′ xmlns=’http://schemas.microsoft.com/developer/msbuild/2003′> <Цільове завдання Name=’Build’> <Повідомлення Текст=’Msbuild виконано шкідливий проект’ Важливість=’Висока’/> </Цільове завдання> </Проект> “@ Set-Content -Path “$outFolder$projFile” -Value $projContent -Encoding ASCII # 6. Запустіть msbuild.exe на шкідливому проекті Write-Host “[*] Виконання msbuild.exe…” msbuild.exe “$outFolder$projFile” /target:Build Write-Host “[+] Симуляція завершена.”

  Команди очищення

• Cleanup Commands

  # Зупиніть будь-які процеси, що залишились (якщо все ще працюють)
  Get-Process -Name "_pJifgWSwPi","hh","msbuild","cmd" -ErrorAction SilentlyContinue |
    Stop-Process -Force
  
  # Видаліть генеровані файли та папки
  Remove-Item -Recurse -Force -Path "C:TempPayloads"
  # За бажанням видаліть файл CHM, якщо він був створений для тесту
  Remove-Item -Force -Path "C:UsersPublicUpdateHelp.chm" -ErrorAction SilentlyContinue
  
  Write-Host "[+] Очищення завершено."