Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
L’Operazione Poseidon è una campagna di spear-phishing attribuita al gruppo Konni APT che sfrutta gli URL di tracciamento/ridirizzamento degli annunci di Google e Naver per distribuire file di collegamento LNK dannosi. Una volta aperto, il LNK attiva un caricatore AutoIt che esegue prevalentemente in memoria EndRAT. L’operazione si basa su siti WordPress compromessi per l’hosting dei payload e servizi di comando e controllo (C2).
Indagine
Il Centro di Sicurezza Genians ha esaminato le esche delle email di phishing, i beacon di tracciamento incorporati e il flusso di esecuzione end-to-end—dal lancio del collegamento LNK alla logica di staging AutoIt e il deploy di EndRAT in memoria. Gli analisti hanno anche notato il riutilizzo di infrastrutture e artefatti di sviluppo, incluso il dominio jlrandsons.co.uk e il percorso di build D:3_Attack WeaponAutoitBuild__Poseidon – Attackclient3.3.14.a3x.
Mitigazione
Prevenire l’esecuzione di file LNK consegnati all’interno di archivi ZIP, e controllare le catene di ridirizzamento dei clic sugli annunci che originano da domini di tracciamento di Google/Naver. Applicare una copertura EDR rigorosa per l’attivitĂ di AutoIt e la creazione di processi sospetti (notabilmente lanci anormali di PowerShell o cmd.exe). Ridurre l’abuso delle infrastrutture rafforzando e applicando patch regolarmente alle istanze WordPress per limitarne l’uso come punti di distribuzione di malware.
Risposta
Allertare sugli eventi di esecuzione iniziale dei file LNK, segnalare le esecuzioni di AutoIt.exe avviate da interazioni utente, e monitorare le connessioni in uscita verso i domini e gli IP di C2 identificati. Mettere in quarantena gli endpoint sospetti e raccogliere artefatti forensi, compreso il script AutoIt, i metadati LNK, e tutti i componenti EndRAT recuperati, per supportare la delimitazione e l’eliminazione.
“graph TB %% Class Definitions classDef action fill:#99ccff %% Node definitions node_phishing[“<b>Azione</b> – <b>T1566.001 Allegato Spearphishing</b><br/><b>Descrizione</b>: Invia email di spear-phishing con un file ZIP dannoso che contiene un collegamento LNK.”] class node_phishing action node_user_execution[“<b>Azione</b> – <b>T1204.001 Esecuzione Maloosa dell’Utente</b><br/><b>Descrizione</b>: La vittima clicca su un URL di ridirezione (ad.doubleclick.net) che porta a un download dannoso.”] class node_user_execution action node_lnk_smuggling[“<b>Azione</b> – <b>T1027.012 Icona LNK Nascosta</b><br/><b>Descrizione</b>: Il collegamento LNK nasconde il payload dannoso dietro un’icona apparentemente innocua e avvia uno script AutoIt.”] class node_lnk_smuggling action node_autohotkey_autoit[“<b>Azione</b> – <b>T1059.010 Interprete di Comandi e Scripting AutoHotKey e AutoIT</b><br/><b>Descrizione</b>: Lo script AutoIt che si maschera da PDF carica il payload EndRAT direttamente in memoria.”] class node_autohotkey_autoit action node_masquerade[“<b>Azione</b> – <b>T1036.008 Mascheramento Tipo di File</b><br/><b>Descrizione</b>: Lo script dannoso si presenta con un’estensione .pdf per apparire legittimo.”] class node_masquerade action node_web_service[“<b>Azione</b> – <b>T1102 Servizio Web</b><br/><b>Descrizione</b>: Un sito WordPress compromesso viene utilizzato per ospitare il payload e comunicare con il server di comando e controllo.”] class node_web_service action %% Connections node_phishing u002du002d>|leads_to| node_user_execution node_user_execution u002du002d>|leads_to| node_lnk_smuggling node_lnk_smuggling u002du002d>|leads_to| node_autohotkey_autoit node_autohotkey_autoit u002du002d>|leads_to| node_masquerade node_autohotkey_autoit u002du002d>|leads_to| node_web_service “
Flusso di Attacco
Rilevamenti
Possibile File LNK Dannoso con Doppia Estensione (via cmdline)
Visualizza
Il Binario AutoIT è Stato Eseguito da una Posizione Insolita (via process_creation)
Visualizza
IOC (DestinationIP) da rilevare: Operazione Poseidon: Attacchi di Spear-Phishing che Sfruttano i Meccanismi di Ridirizzamento di Google Ads
Visualizza
IOC (Email) da rilevare: Operazione Poseidon: Attacchi di Spear-Phishing che Sfruttano i Meccanismi di Ridirizzamento di Google Ads
Visualizza
IOC (SourceIP) da rilevare: Operazione Poseidon: Attacchi di Spear-Phishing che Sfruttano i Meccanismi di Ridirizzamento di Google Ads
Visualizza
IOC (HashMd5) da rilevare: Operazione Poseidon: Attacchi di Spear-Phishing che Sfruttano i Meccanismi di Ridirizzamento di Google Ads
Visualizza
Tentativi Anomali di Connessione Esterna via PowerShell per Comunicazione C2 [Windows PowerShell]
Visualizza
Esecuzione di Processi Dannosi Seguiti dall’Esecuzione del File LNK [Creazione Processo Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.
Motivazione: Questa sezione illustra l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente le TTP identificate e puntare a generare esattamente la telemetria attesa dalla logica di rilevamento.
-
Narrativa dell’Attacco & Comandi:
Un attaccante crea un collegamento dannoso (
malicious.lnk) che punta apowershell.execon un comando codificato per scaricare ed eseguire un payload. Il collegamento viene consegnato via email di spear-phishing. Al doppio clic, Windows Explorer risolve il.lnk, generandopowershell.execome figlio del processo LNK. Questa precisa relazione genitore-figlio soddisfa la condizione della regola Sigmaexecution_after_LNKcondizione. -
Script di Test di Regressione:
# ------------------------------------------------------------- # Creare un LNK dannoso che avvia PowerShell con un comando codificato # ------------------------------------------------------------- $WshShell = New-Object -ComObject WScript.Shell # Percorso dove sarĂ creato il LNK (Desktop) $lnkPath = "$Env:UserProfileDesktopmalicious.lnk" # Eseguibile di destinazione $target = "$Env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" # Esempio di comando codificato (crea un file di testo come indicatore innocuo) $plainCmd = "New-Item -Path $Env:Tempposeidon_test.txt -ItemType File -Force" $bytes = [System.Text.Encoding]::Unicode.GetBytes($plainCmd) $encoded = [Convert]::ToBase64String($bytes) $arguments = "-EncodedCommand $encoded" $shortcut = $WshShell.CreateShortcut($lnkPath) $shortcut.TargetPath = $target $shortcut.Arguments = $arguments $shortcut.Save() Write-Host "LNK creato in $lnkPath" # ------------------------------------------------------------- # Eseguire il LNK per attivare la regola di rilevamento # ------------------------------------------------------------- Start-Process -FilePath $lnkPath # ------------------------------------------------------------- # Opzionale: pausa per consentire l'ingestione da parte di SIEM # ------------------------------------------------------------- Start-Sleep -Seconds 10 # ------------------------------------------------------------- # Pulizia (rimuovere il file indicatore, il LNK e l'indicatore) # ------------------------------------------------------------- Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue Write-Host "Pulizia completata." -
Comandi di Pulizia: (se lo script sopra non è usato)
# Rimuovere tutti i file indicatori creati durante il test Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue # Eliminare il collegamento dannoso $lnkPath = "$Env:UserProfileDesktopmalicious.lnk" Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue Write-Host "Artefatti del test rimossi."