SOC Prime Bias: Критичний

23 Dec 2025 10:26 UTC

Непомітність у шарах: розкриття завантажувача, використаного в цільових електронних кампаніях

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Непомітність у шарах: розкриття завантажувача, використаного в цільових електронних кампаніях
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Широко доступний завантажувач використовується декількома зловмисниками для доставки різних RATs та крадіїв інформації через фішингові електронні листи з небезпечними вкладеннями JavaScript, PowerShell, LNK та ZIP. Завантажувач поєднує стеганографію, відбивальне завантаження, процесне порожнисте, і новий метод обходу UAC для виконання без файлів та підвищення привілеїв. Діяльність спостерігалася, що націлюється на виробництво та урядові установи в Європі та на Близькому Сході, з очевидною метою крадіжки промислових даних та облікових даних.

Розслідування

Cyble Research and Intelligence Labs проаналізували ланцюг доставки та окреслили чотиристадійний процес обходу. Він починається з обфусцированного завантажувача на JavaScript, переходить до стеганографічного завантажувача PowerShell, зловживає троянізованою бібліотекою TaskScheduler і завершується ін’єкцією корисного навантаження в RegAsm.exe. Конечне шкідливе програмне забезпечення – PureLog Stealer, яке збирає облікові дані браузера, дані криптогаманця та інформацію про хост/систему для ексфільтрації.

Пом’якшення

Використовуйте розширений захист електронної пошти з детонацією в пісочниці, блокуйте виконання скриптів з вмісту, доставленого електронною поштою, забезпечте Режим обмеженої мови PowerShell і монітор для порожняння легітимних бінарних файлів Windows. Додайте спрацювання для стеганографії у графічних файлах і налаштуйте правила EDR, щоб відобразити відбивальне завантаження .NET збірок і моделі обходу UAC, асоційовані з цим ланцюгом завантажувачів.

Відповідь

Якщо виявлено індикатори, ізолюйте кінцеву точку, зупиніть підозрілу діяльність PowerShell і WMI, захопіть образи пам’яті і шукайте артефакти відбивального .NET і процеси, ін’єковані у RegAsm.exe. Скиньте можливі викриті облікові дані та блокуйте відповідні шкідливі домени й IP-адреси, щоб запобігти повторному зараженню і подальшій активності.

Потік атаки

Виявлення

LOLBAS WScript / CScript (через process_creation)

Команда SOC Prime
22 грудня 2025

Файл зображення був створений підозрілим процесом (через file_event)

Команда SOC Prime
22 грудня 2025

Підозрілі рядки Powershell (через powershell)

Команда SOC Prime
22 грудня 2025

Можливий Інтернет-архів, вирішений незвичайним процесом (через dns_query)

Команда SOC Prime
22 грудня 2025

Виклик підозрілих методів .NET з Powershell (через powershell)

Команда SOC Prime
22 грудня 2025

Підозріле завантаження файлу з прямої IP адреси (через proxy)

Команда SOC Prime
22 грудня 2025

IOC (SourceIP) для виявлення: Прихованість у шарах: Розкриття завантажувача, використаного в цільових імейл-кампаніях

Правила SOC Prime AI
22 грудня 2025

IOC (DestinationIP) для виявлення: Прихованість у шарах: Розкриття завантажувача, використаного в цільових імейл-кампаніях

Правила SOC Prime AI
22 грудня 2025

IOC (HashSha256) для виявлення: Прихованість у шарах: Розкриття завантажувача, використаного в цільових імейл-кампаніях

Правила SOC Prime AI
22 грудня 2025

Виявлення прихованого PowerShell і розкодовування рядка із Base64 [Windows Powershell]

Правила SOC Prime AI
22 грудня 2025

Створення об’єкта WMI та виявлення процесного пустіння [Створення процесу Windows]

Правила SOC Prime AI
22 грудня 2025

Випробування симуляції

Необхідна умова: Телеметрія та перевірка базової лінії Pre‑flight повинні бути пройдені.

Обґрунтування: У цьому розділі детально описується точне виконання техніки противника (TTP), призначеної для триггеру правила виявлення. Команди та опис винні безпосередньо відповідати визначеним TTPs і мати на меті згенерувати саме ту телеметрію, яку очікує логіка виявлення.

  • Атаковий наратив і команди:
    Противник відправляє фішинговий імейл, що містить вкладення JPEG з прихованим корисним навантаженням PowerShell, стеганографічно вбудованим. Після відкриття вкладення, скрипт першої стадії атакуючого витягує приховані дані, декодує їх з Base64 і запускає завантажувач PowerShell другої стадії в прихованому вікні. Завантажувач потім контактує з сервером C2 для завантаження додаткових інструментів. Точна командна лінія, сгенерована на хості жертви, виглядає так:

    powershell -WindowStyle Hidden -EncodedCommand <Base64String>

    Оскільки атакуючий явно включає слово “Base64” в скрипт (наприклад, використовуючи -EncodedCommand обгортку, що друкує “Base64” у коментарях), правило виявлення selection_base64_decoded_script умова збігається, і прапор прихованого вікна задовольняє selection_hidden_powershell.

  • Скрипт регресійного тестування:

    # емулювання завантажувача PowerShell з прихованим Base64
    # -------------------------------------------------
    # Крок 1: Створіть фіктивний скрипт PowerShell
    $script = 'Write-Host "Заражений хост: $env:COMPUTERNAME"; Start-Sleep -Seconds 30'
    # Крок 2: Закодуйте у Base64 (Unicode)
    $bytes = [System.Text.Encoding]::Unicode.GetBytes($script)
    $b64 = [Convert]::ToBase64String($bytes)
    # Крок 3: Запустіть прихований PowerShell з закодованим корисним навантаженням
    Start-Process -FilePath "powershell.exe" `
     -ArgumentList "-WindowStyle Hidden -EncodedCommand $b64" `
     -WindowStyle Hidden `
     -NoNewWindow
    # Присутність рядка "Base64" в коментарі задовольняє правило.
  • Команди очищення:

    # Завершити всі приховані процеси PowerShell, запущені тестом
    Get-Process -Name "powershell" | Where-Object {
     $_.StartInfo.Arguments -match "-WindowStyle Hidden"
    } | Stop-Process -Force
    
    # Опціонально: Видаліть усі тимчасові файли (жодного не створено в цьому скрипті)