SOC Prime Bias: Критичний

18 Jun 2026 14:28 UTC

Техніки атаки SloppyLemming та бекдор BurrowShell пояснені

Author Photo
SOC Prime Team linkedin icon Стежити
Техніки атаки SloppyLemming та бекдор BurrowShell пояснені
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

SloppyLemming — це група кібершпіонажу, яка націлюється на критичні галузі по всій Південній та Східній Азії. Група покладається на фішинг-атаки з метою доставки індивідуально спроектованого шкідливого ПЗ, включаючи бекдор BurrowShell і кейлоггер на базі Rust. Вона також широко використовує Cloudflare Workers для підтримки активності командного управління та операцій викрадення облікових даних.

Розслідування

Звіт описує багатоступеневу кампанію із залученням шкідливих макросів Excel і підроблених порталів аутентифікації. Дослідники ідентифікували піддомени Cloudflare, створені для наслідування державних органів, та проаналізували кастомні шеллкоди групи разом із їхніми можливостями кейлогінгу. Розслідування також показує, як SloppyLemming уникає статичного аналізу через динамічне вирішення API та RC4-зашифровувані корисні навантаження.

Пом’якшення

Організації повинні впроваджувати сильну фільтрацію пошти, щоб блокувати шкідливі вкладення та фішингові посилання до їх отримання. Команди безпеки повинні відстежувати несанкціоновані модифікації ключів запуску і підозрілих взаємозв’язків батьківських і дочірніх процесів, включаючи NGenTask.exe завантаження несподіваних DLL. Виявлення також повинно охоплювати незвичайний трафік Cloudflare Worker і будь-які ознаки несанкціонованого використання OAuth токенів.

Реакція

Якщо активність виявлено, ізолюйте уражені системи негайно, щоб зупинити подальше витік інформації через канал командного управління. Виконайте криміналістичний аналіз пам’яті, щоб відновити шеллкод BurrowShell і визначити масштаби компрометації. Скиньте облікові дані для всіх облікових записів, які могли бути піддані ризику через кейлоггер або перехоплення OAuth, з особливим акцентом на облікові записи Google.

Потік атаки

Виконання симуляції

Передумова: Перевірка Телеметрії та попередня перевірка бази повинні пройти.

Аргументація: Цей розділ описує точне виконання техніки супротивника (TTP), розроблене для спрацьовування правила виявлення. Команди і наратив, ОБОВ’ЯЗКОВО, повинні безпосередньо відображати ідентифіковані TTP і прагнути згенерувати точну телеметрію, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.

  • Наратив атаки та команди: Супротивник прагне підтримувати стійкість і здійснювати виконання коду непомітно. Вони намагаються перехопити потік процесу, передаючи mscorsvc.dll mscorsvc.dll як аргумент, що є відомою технікою SloppyLemming. Щоб ще більше ускладнити виявлення, вони також можуть спробувати замаскувати свою присутність, називаючи вторинний шкідливий процес OneDrive.exe в командному рядку. Мета полягає в тому, щоб спричинити спрацьовування правила виявлення, співставивши конкретну комбінацію потік процесу, передаючи і підозрілого DLL або підмінного імені.

  • Скрипт регресійного тесту:

    # Скрипт симуляції: Емуляція TTP SloppyLemming
    # Сценарій 1: Перехоплення audiodg.exe з mscorsvc.dll
    Write-Host "[+] Симуляція перехоплення audiodg.exe з mscorsvc.dll..."
    Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden
    
    # Сценарій 2: Маскування через OneDrive.exe в командному рядку
    Write-Host "[+] Симуляція виконання audiodg.exe з маскуванням OneDrive.exe..."
    Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden
  • Команди очищення:

    # Очистка: Постійних артефактів не створюється командою cmd /c, 
    # але ми забезпечуємо відсутність залишкових підозрілих процесів.
    Stop-Process -Name "cmd" -ErrorAction SilentlyContinue