Detection is easy

Всем привет 💻✌️ Коллеги из PT ESC разобрали кампанию CapFix, нацеленную на российские организации 👨‍💻 Как это работает? 🔤Основный вектор получения доступа фишинг с PDF/HTML-приманками, которые побуждают скачать файл ‍🔤В одной из цепочек внутри архива находился *.chm, который скачивал файл a.gif с скомпрометированного легитимного домена, переименовывал его в dmitry_medvedev.msi и открывал легитимный PDF-документ для отвлечения пользователя 🔤*.msi был подписан QILING Tech и создавал директорию C:\Users\admin\AppData\Local\Disk Master с множеством dll-файлов, и уязвимым к DLL sideloading MetadataConvert.exe 🔭 Обнаружение: 🔤 ищем переименованные файлы (с неисполняемого расширения в исполняемое) в $mft и $UsnJrnl:$J, кластеризируем по критичности 🔤 хантим бинарь с подписью QILING Tech 🔤 отслеживаем цепочку процессов (пример правила из eql - execution_via_compiled_html_file)

process where host.os.type == "windows" and event.type == "start" and
 process.parent.name : "hh.exe" and
 process.name : ("mshta.exe", "cmd.exe", "powershell.exe", "pwsh.exe", "powershell_ise.exe", "cscript.exe", "wscript.exe")

#detection@detectioneasy #ttp@detectioneasy