Зброєні RAR-архіви використовуються для атаки на сектор охорони здоров’я Таїланду
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Цілеспрямована кампанія зі шкідливими програмами активно вражає сферу охорони здоров’я Таїланду через озброєні архіви RAR. Ці архіви містять обфусковані пакетні скрипти, які запускають багатоступеневий ланцюжок інфекції і, зрештою, запускають крадія інформації на основі Python. Шкідлива програма призначена для захоплення облікових даних браузера та cookies сесій, а потім ексфільтрує вкрадені дані через Telegram.
Розслідування
Лабораторія Seqrite виявила активне вікно кампанії, що тривала десять тижнів з квітня по червень 2026 року. Їх розслідування виявило складний ланцюжок виконання з використанням завантажувачів, обфускованих за допомогою Rouki, корисних навантажень, розміщених на GitHub, та стійкості, встановленої через папку автозапуску Windows. Аналітики також спостерігали спроби викрадення інформації з браузерів на базі Chromium та її відправку через API бота Telegram.
Пом’якшення
Організації повинні впроваджувати суворі контролі на виконання недовірених скриптів та двійкових файлів, отриманих з зовнішніх джерел. Тісний моніторинг несанкціонованих змін у папці автозапуску Windows є вкрай важливим. Команди безпеки також повинні обмежити доступ до файлохостингових та месенджерських сервісів, таких як GitHub та Telegram, якщо вони використовуються не схваленими процесами.
Відповідь
У разі виявлення інфекції респонденти повинні негайно ізолювати уражені кінцеві точки, щоб зупинити подальше викрадення даних. Судово-медичний аналіз повинен зосередитись на %TEMP% and AppData каталогах для виявлення вторинного корисного навантаження та пов’язаних артефактів. Історія браузера та сховища облікових даних повинні бути перевірені на наявність ознак компрометації, і повинен бути розпочатий процес скидання паролів для всіх потенційно уражених користувачів.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef persistence fill:#ccffcc classDef exfiltration fill:#ffccff %% Node Definitions action_phishing["<b>Дія</b> – <b>T1566.001 Фішинг: Прикріплення фішингу-цілей</b><br/>Опис: Листи на тему охорони здоров’я, що містять<br/>шкідливі архіви RAR, на кшталт Health_Ministry_Approved_Equipment_2026.rar"] class action_phishing action action_user_exec["<b>Дія</b> – <b>T1204.002 Виконання користувачем: Шкідливий файл</b><br/>Опис: Жертва відкриває архів і запускає<br/>вбудований шкідливий пакетний скрипт"] class action_user_exec action tool_powershell["<b/>Інструмент – <b/>Назва: PowerShell<br/><b>Техніка</b> – T1059.001 Інтерпретатор команд і скриптів: PowerShell<br/>Опис: Використовується для декодування вбудованого контенту та<br/>ініціювання завантаження наступних етапів"] class tool_powershell tool action_ingress["<b/>Дія – <b/>T1105 Передача інструменту входу</b><br/>Опис: Використовуючи PowerShell і curl для завантаження<br/>вторинних корисних навантажень з репозиторіїв, розміщених на GitHub"] class action_ingress action malware_persistence["<b/>Дія – <b/>T1547.001 Автозапуск при завантаженні чи вході: Ключі автозапуску реєстру / папка автозапуску</b><br/>Опис: Шкідливий пакетний файл WindowSecuryt.bat розміщено в каталозі автозавантаження Windows для забезпечення стійкості"] class malware_persistence persistence action_elevation["<b/>Дія – <b/>T1548 Зловживання механізмом контролю підвищення</b><br/>Опис: Вторинний пакетний корисний вантаж u-t2.bat намагається<br/>пере-запустити себе з підвищеними правами"] class action_elevation action malware_stealer["<b/>Шкідлива програма – <b/>Назва: sim.py<br/>Опис: Викрадач інформації на основі Python, призначений для збору конфіденційних даних"] class malware_stealer malware action_credentials["<b/>Дія – <b/>T1555.003 Облікові дані з веб-браузерів</b><br/>Опис: Припиняє процес браузера для збору<br/>облікових даних, cookies та артефактів сесій"] class action_credentials action action_archive["<b/>Дія – <b/>T1560 Архівування зібраних даних</b><br/>Опис: Викрадені дані стискаються у ZIP-архіви<br/>для ефективного збору"] class action_archive action action_exfiltration["<b/>Дія – <b/>T1567 Екфільтрація через веб-сервіс</b><br/>Опис: Передає зібрані дані на канали Telegram, контрольовані атакувальником, через API бота Telegram"] class action_exfiltration exfiltration %% Connections Section %% Атака починається з фішингу action_phishing –>|приводить до| action_user_exec %% Виконання користувачем запускає інтерпретатор action_user_exec –>|запускає| tool_powershell %% PowerShell виконує вхід tool_powershell –>|виконує| action_ingress %% Вхід приносить механізм стійкості action_ingress –>|завантажує| malware_persistence %% Стійкість призводить до спроб підвищення action_elevation –>|ініціює| malware_persistence %% Підвищення призводить до розгортання викрадача action_elevation –>|розгортає| malware_stealer %% Викрадач виконує збір облікових даних malware_stealer –>|виконує| action_credentials %% Збір приводить до архівування action_credentials –>|пливає на| action_archive %% Архівування приводить до остаточної екфільтрації action_archive –>|сприяє| action_exfiltration "
Потік атаки
Детекції
Підозріле виконання Taskkill (через командний рядок)
Перегляд
Виконання Python зі підозрілих папок (через командний рядок)
Перегляд
Підозріле завантаження ZIP-файлу за допомогою PowerShell (через командний рядок)
Перегляд
Завантаження або передача даних через Powershell (через командний рядок)
Перегляд
Підозріле виконання з публічного профілю користувача (через створення процесу)
Перегляд
Підозріле використання CURL (через командний рядок)
Перегляд
Виклик підозрілих методів .NET з PowerShell (через powershell)
Перегляд
Підозрілі двійкові файли / скрипти в автозапуску (через file_event)
Перегляд
Підозрілі файли в публічному профілі користувача (через file_event)
Перегляд
Можливе зловживання Telegram як каналу командування й контролю (через dns_query)
Перегляд
Використання Python та Taskkill у розгортанні викрадача інформації [Windows System]
Перегляд
Виявлення обфускованої команди Curl у скрипті стійкості автозапуску [Створення процесу Windows]
Перегляд
PowerShell команди для розгортання корисного навантаження та стійкості автозапуску [Windows Powershell]
Перегляд
Виконання Симуляції
Передумова: Тест телеметрії та базової лінії перед польотом має бути пройдено.
Обґрунтування: У цьому розділі детально описується точне виконання технік противника (TTP), призначене для ініціювання правила детекції. Команди та наратив повинні безпосередньо відображати ідентифіковані TTP та прагнути генерувати точну телеметрію, яка очікується логікою детекції. Абстрактні або непов’язані приклади призведуть до помилкової діагностики.
-
Наратив атаки і команди: Зловмисник вдало здобув початковий доступ і розмістив викрадача інформації на основі Python під назвою
sim.pyуC:UsersPublicDesktopsLib. Мета полягає в зборі облікових даних з Chrome і Edge. Щоб уникнути блокувань бази даних профілю користувача, атакуючий виконує скрипт Python і одразу ж запускаєtaskkillкоманди для завершення процесів браузера. Ця послідовність запланована на наслідування автоматизованої поведінки шкідливого програмного забезпечення. -
Скрипт тестування регресії:
# 1. Налаштуйте середовище (Імітуйте сліди атакуючого) $targetDir = "C:UsersPublicDesktopsLib" if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force } $scriptPath = "$targetDirsim.py" "print('Викрадаю дані...')" | Out-File -FilePath $scriptPath -Encoding utf8 # 2. Виконати "Зловмисний" скрипт Python (Тригер вибору 1) Write-Host "Виконую скрипт Python..." Start-Process "python.exe" -ArgumentList "`"$scriptPath`"" -Wait # 3. Виконати команди Taskkill (Тригер вибору 2) Write-Host "Виконую команди taskkill..." $browsers = @("chrome.exe", "edge.exe", "brave.exe", "chromium.exe") foreach ($browser in $browsers) { Start-Process "taskkill.exe" -ArgumentList "/IM", $browser, "/F" -ErrorAction SilentlyContinue } -
Команди очищення:
# Видалити файли з імітованим шкідливим програмним забезпеченням та каталог Remove-Item -Path "C:UsersPublicDesktopsLib" -Recurse -Force