Кампанія SmartApeSG розповсюджує Remcos RAT, NetSupport RAT, StealC та Sectop RAT (ArechClient2)

Ruslan Mikhalov Керівник досліджень загроз у SOC Prime

Стежити

Кампанія SmartApeSG розповсюджує Remcos RAT, NetSupport RAT, StealC та Sectop RAT (ArechClient2)

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Кампанія SmartApeSG використовує фальшиву сторінку CAPTCHA у поєднанні зі скриптом ClickFix для розповсюдження декількох загроз дистанційного доступу, включно з Remcos RAT, NetSupport RAT, StealC і Sectop RAT. Початковий компроміс запускає поетапний ланцюг інфекції, в якому кожен завантажувальний модуль звертається до власного серверa командування та контролю. Доставка відбувається через архівні файли, які використовують DLL сайдлоадінг для запуску шкідливого програмного забезпечення. Доповідь також включає допоміжні індикатори, такі як домени, IP-адреси, шляхи до файлів та хеші файлів.

Розслідування

Аналітик спочатку зафіксував трафік зі скрипту ClickFix о 17:11 UTC, а з’єднання Remcos RAT почалися через хвилину о 17:12 UTC. Трафік NetSupport RAT з’явився через чотири хвилини після цього, StealC було спостережено приблизно через годину, а Sectop RAT з’явився приблизно через годину вісімнадцять хвилин після StealC. Слідчі відновили артефакти файлів як з каталогів користувача, так і з системних каталогів і зіставили їх зі специфічними шкідливими архівами, використаними у ланцюзі.

Пом’якшення

Захисники повинні блокувати відомі шкідливі домени та IP-адреси, стежачи за виконанням HTA-файлів і підозрілими витягами архівів у шляхах профілів користувачів. Захист браузера та електронної пошти слід посилити, щоб зменшити вплив клік-джекінгу та доставки фальшивого CAPTCHA. Правила виявлення на кінцевих точках також повинні бути налаштовані на виявлення поведінки DLL сайдлоадінг і неочікуваних процесів RAT.

Реагування

Якщо будь-який з перелічених індикаторів виявлено, ізолюйте постраждалий хост, зупиніть шкідливі процеси та зберіть образи пам’яті та диску для судово-медичної експертизи. Проведіть широке обшуку IOC у всьому середовищі, оновіть контроль фаєрвола, щоб заблокувати ідентифіковані кінцеві точки C2, і скиньте будь-які потенційно компрометовані облікові дані.

"graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc %% Nodes victim_visits["Дія – Жертва заходить на компрометований веб-сайт, де фальшива CAPTCHA ін’єктує шкідливий скрипт"] class victim_visits action tech_user_exec_link["Техніка – T1204.001 Виконання користувачем: Шкідливе посилання Опис: Жертва взаємодіє зі шкідливим посиланням, яке призводить до виконання коду"] class tech_user_exec_link technique tech_user_exec_copy["Техніка – T1204.004 Виконання користувачем: Шкідливе копіювання та вставка Опис: Шкідливий код копіюється у буфер обміну та вставляється для виконання"] class tech_user_exec_copy technique clickfix_script["Інструмент – Назва: ClickFix скрипт (шкідливий)"] class clickfix_script malware hta_creation["Дія – Шкідливий HTA файл записаний у %AppData%post.hta"] class hta_creation action tech_mshta["Техніка – T1218.005 Виконання системних бінарних проксі: Mshta Опис: Mshta використовується для виконання HTA файлів"] class tech_mshta technique tech_user_exec_file["Техніка – T1204.002 Виконання користувачем: Шкідливий файл Опис: Жертва запускає шкідливий файл"] class tech_user_exec_file technique hta_execution["Процес – mshta.exe виконує post.hta"] class hta_execution process download_payload["Дія – HTA завантажує стислі завантажувальні файли (ZIP або RAR) з віддаленого сервера"] class download_payload action tech_web_protocol["Техніка – T1071.001 Протокол прикладного рівня: Веб-протоколи Опис: Використання HTTP/HTTPS для передачі даних"] class tech_web_protocol technique malware_remcos["Шкідливе ПЗ – Remcos RAT"] class malware_remcos malware malware_netsupport["Шкідливе ПЗ – NetSupport RAT"] class malware_netsupport malware malware_stealc["Шкідливе ПЗ – StealC"] class malware_stealc malware malware_sectop["Шкідливе ПЗ – Sectop RAT"] class malware_sectop malware tech_dll_sideloading["Техніка – T1574.001 Підхоплення виконання: DLL сайдлоадінг Опис: Шкідливі DLL завантажуються у легітимні виконувані файли"] class tech_dll_sideloading technique c2_bidirectional["Техніка – T1102.002 Веб-сервіс: Двосторонній зв’язок Опис: RAT спілкується з C2 за допомогою двосторонніх веб-сервісів"] class c2_bidirectional technique c2_oneway["Техніка – T1102.003 Веб-сервіс: Односпрямований зв’язок Опис: RAT відправляє дані на C2 через односпрямовані веб-сервіси"] class c2_oneway technique cleanup_files["Дія – Видалення HTA і тимчасових файлів після виконання"] class cleanup_files action tech_file_deletion["Техніка – T1070.004 Видалення індикаторів: Видалення файлів Опис: Файли видаляються для видалення доказів"] class tech_file_deletion technique cleanup_persistence["Дія – Вичищення артефактів стійкості, таких як реєстри або завдання за розкладом"] class cleanup_persistence action tech_clear_persistence["Техніка – T1070.009 Видалення індикаторів: Очищення стійкості Опис: Механізми стійкості видаляються"] class tech_clear_persistence technique %% Connections victim_visits –>|вваджує| tech_user_exec_link victim_visits –>|вваджує| tech_user_exec_copy tech_user_exec_link –>|доставляє| clickfix_script tech_user_exec_copy –>|доставляє| clickfix_script clickfix_script –>|записує| hta_creation hta_creation –>|використовує| tech_mshta hta_creation –>|використовує| tech_user_exec_file tech_mshta –>|виконує| hta_execution tech_user_exec_file –>|виконує| hta_execution hta_execution –>|завантажує| download_payload download_payload –>|використовує| tech_web_protocol download_payload –>|доставляє| malware_remcos download_payload –>|доставляє| malware_netsupport download_payload –>|доставляє| malware_stealc download_payload –>|доставляє| malware_sectop malware_remcos –>|використовує| tech_dll_sideloading malware_netsupport –>|використовує| tech_dll_sideloading malware_stealc –>|використовує| tech_dll_sideloading malware_sectop –>|використовує| tech_dll_sideloading malware_remcos –>|спілкується через| c2_bidirectional malware_netsupport –>|спілкується через| c2_oneway malware_stealc –>|спілкується через| c2_oneway malware_sectop –>|спілкується через| c2_bidirectional hta_execution –>|вваджує| cleanup_files cleanup_files –>|використовує| tech_file_deletion cleanup_files –>|також вваджує| cleanup_persistence cleanup_persistence –>|використовує| tech_clear_persistence "

Потік атак

Опис атаки та команди

Противник, заволодівши позицією на робочій станції жертви, запускає компонент Remcos RAT кампанії SmartApeSG. RAT налаштований для використання 95.142.45.231:443 як основну кінцеву точку C2. Спочатку він розв’язує вбудований домен fresicrto.top (резервний) і потім відкриває постійний HTTPS тунель до IP-адреси. Трафік генерується remcos.exe через Windows WinHTTP API, яка створює подію Sysmon NetworkConnect і запис у журналах Windows Firewall.

Кроки:

Скиньте виконуваний файл RAT (remcos.exe) у %TEMP%.
Виконайте виконуваний файл з аргументом C2 -c 95.142.45.231:443.
Перевірте вихідне з’єднання (через netstat).

Ці дії відповідають T1102 (Веб-сервіс) для спілкування з C2 і T1584.001 (Придбання домену) оскільки домен є частиною завантаження.

Скрипт тестування регресії

# --------------------------------------------------------------
# Симуляція C2 SmartApeSG – запускає правило виявлення
# --------------------------------------------------------------

# 1. Напишіть мінімальний стенд Remcos-типу (для демонстрації, використовуйте PowerShell для відкриття TCP)
$c2Ip   = "95.142.45.231"
$c2Port = 443
$payloadFile = "$env:TEMPremcos_stub.exe"

# Створіть простий виконуваний файл .NET, який відкриває TCP-з'єднання (імітує RAT)
Add-Type -TypeDefinition @"
using System;
using System.Net.Sockets;
public class Stub {
    public static void Main(string[] args) {
        try {
            var client = new TcpClient();
            client.Connect("$c2Ip", $c2Port);
            System.Threading.Thread.Sleep(5000); // утримувати з'єднання активним
            client.Close();
        } catch (Exception ex) {
            Console.Error.WriteLine(ex.Message);
        }
    }
}
"@ -OutputAssembly $payloadFile -CompilerOptions "/target:exe"

# 2. Виконай стенд (це генерує мережеве з'єднання)
Start-Process -FilePath $payloadFile -WindowStyle Hidden

# 3. Опційно: Розв'язати резервний домен, щоб довести активність DNS
Resolve-DnsName -Name "fresicrto.top" -Type A | Out-Null

# 4. Пауза для спостереження
Start-Sleep -Seconds 10

# 5. Очистка – вбийте стенд, якщо він ще працює
Get-Process -Name "remcos_stub" -ErrorAction SilentlyContinue | Stop-Process -Force
Remove-Item -Path $payloadFile -Force

Команди очищення

# Завершіть будь-які залишкові з'єднання зі стенду
Get-NetTCPConnection -RemotePort 443 -RemoteAddress 95.142.45.231 -State Established |
    ForEach-Object { Stop-Process -Id $_.OwningProcess -Force }

# Видалення тимчасових файлів (вже зроблено у скрипті, але для забезпечення чистого стану)
Remove-Item -Path "$env:TEMPremcos_stub.exe" -ErrorAction SilentlyContinue

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно