Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Gli attori delle minacce stanno abusando di Google Forms per distribuire archivi ZIP dannosi che installano infine il PureHVNC RAT. L’archivio include un PDF esca insieme a un eseguibile dannoso e una coppia di DLL che si eseguono tramite hijacking DLL. Una volta avviato, il malware esegue ricognizione del sistema, ruba dati e stabilisce persistenza tramite modifiche al registro e attività pianificate.
Indagine
I ricercatori hanno documentato diverse varianti di campagna e confermato l’abuso di msimg32.dll per l’hijacking DLL. Hanno osservato persistenza attraverso la chiave di esecuzione Miroupdate nel registro, esecuzione in fasi che lascia un ultimo ZIP in ProgramData e un loader Python offuscato che esegue codice shell Donut. Nella fase finale, il PureHVNC RAT viene iniettato in SearchUI.exe.
Mitigazione
Gli utenti dovrebbero evitare di scaricare file da pagine Google Forms non affidabili o tramite link abbreviati. La legittimità dei moduli e degli URL condivisi, specialmente quelli inviati tramite LinkedIn, deve essere verificata attentamente. Le organizzazioni dovrebbero applicare il filtraggio degli URL e la protezione degli endpoint per bloccare file, domini e percorsi di distribuzione di payload noti e dannosi.
Risposta
I team di rilevamento dovrebbero cercare la presenza di msimg32.dll, la chiave di esecuzione Miroupdate, attività pianificate contenenti PowerShell base64 e comportamento di iniezione di processo PureHVNC. I file ZIP dannosi dovrebbero essere messi in quarantena, i meccanismi di persistenza rimossi e tutti i domini infrastrutturali associati bloccati.
"graph TB %% Class definitions classDef technique fill:#e6f5ff %% Node definitions tech_user_exec["<b>Tecnica</b> – <b>T1204.001 Esecuzione Utente: Link Maligno</b><br/><b>Descrizione</b>: Inganna un utente a cliccare su un link dannoso che risulta nell’esecuzione di codice malevolo."] class tech_user_exec technique tech_dll_hijack["<b>Tecnica</b> – <b>T1574.001 Dirottamento del Flusso di Esecuzione: DLL</b><br/><b>Descrizione</b>: Carica una DLL dannosa dirottando l’ordine di ricerca normale delle DLL o utilizzando tecniche di side-loading."] class tech_dll_hijack technique tech_user_activity["<b>Tecnica</b> – <b>T1497.002 Evasione della Virtualizzazione/Sandbox: Controlli Basati su Attività Utente</b><br/><b>Descrizione</b>: Controlla la presenza di attività utente reale (mouse, tastiera, display) per determinare se è in esecuzione in un ambiente sandbox o virtuale."] class tech_user_activity technique tech_rc_scripts["<b>Tecnica</b> – <b>T1037.004 Script di Inizializzazione di Avvio o Logon: Script RC</b><br/><b>Descrizione</b>: Modifica o crea script di controllo di esecuzione (RC) su sistemi simili a Unix per ottenere persistenza al boot o login."] class tech_rc_scripts technique tech_scheduled_task["<b>Tecnica</b> – <b>T1053 Attività Pianificata/Lavoro</b><br/><b>Descrizione</b>: Crea attività pianificate o lavori che eseguono codice malevolo in un momento successivo o su base ricorrente."] class tech_scheduled_task technique tech_powershell["<b>Tecnica</b> – <b>T1059.001 Comando e Interprete di Script: PowerShell</b><br/><b>Descrizione</b>: Usa PowerShell per eseguire comandi, script o payload sul sistema vittima."] class tech_powershell technique tech_compress["<b>Tecnica</b> – <b>T1027.015 File o Informazioni Offuscate: Compressione</b><br/><b>Descrizione</b>: Comprime o impacchetta file dannosi per eludere il rilevamento e ridurne la dimensione."] class tech_compress technique tech_dynamic_api["<b>Tecnica</b> – <b>T1027.007 File o Informazioni Offuscate: Risoluzione API Dinamica</b><br/><b>Descrizione</b>: Risolve le chiamate API in fase di esecuzione per nascondere il reale intento del codice dall’analisi statica."] class tech_dynamic_api technique tech_process_injection["<b>Tecnica</b> – <b>T1055 Iniezione di Processo</b><br/><b>Descrizione</b>: Inietta codice malevolo nello spazio degli indirizzi di un processo in esecuzione."] class tech_process_injection technique tech_process_hollow["<b>Tecnica</b> – <b>T1055.012 Iniezione di Processo: Hollowing di Processo</b><br/><b>Descrizione</b>: Crea un processo legittimo in stato sospeso e ne sostituisce la memoria con codice malevolo."] class tech_process_hollow technique tech_sysinfo["<b>Tecnica</b> – <b>T1082 Scoperta delle Informazioni di Sistema</b><br/><b>Descrizione</b>: Raccoglie dettagli del sistema operativo, hardware e configurazione dalla vittima."] class tech_sysinfo technique tech_browser_info["<b>Tecnica</b> – <b>T1217 Scoperta delle Informazioni del Browser</b><br/><b>Descrizione</b>: Enumera browser installati, estensioni e impostazioni per aiutare ulteriormente il furto di credenziali."] class tech_browser_info technique tech_browser_creds["<b>Tecnica</b> – <b>T1555.003 Credenziali dai Depositi di Password: Credenziali dai Browser Web</b><br/><b>Descrizione</b>: Estrae nomi utente e password salvati dai browser web."] class tech_browser_creds technique tech_file_creds["<b>Tecnica</b> – <b>T1552.001 Credenziali Non Sicure: Credenziali Nei File</b><br/><b>Descrizione</b>: Cerca nel file system materiale di credenziali archiviato in plaintext o in file scarsamente protetti."] class tech_file_creds technique tech_private_keys["<b>Tecnica</b> – <b>T1552.004 Credenziali Non Sicure: Chiavi Private</b><br/><b>Descrizione</b>: Localizza file di chiavi private che possono essere usati per impersonare la vittima."] class tech_private_keys technique tech_web_cookie["<b>Tecnica</b> – <b>T1550.004 Usa Materiale di Autenticazione Alternativo: Cookie di Sessione Web</b><br/><b>Descrizione</b>: Riutilizza cookie di sessione web raccolti per autenticarsi ai servizi web senza necessitare di password."] class tech_web_cookie technique %% Connections tech_user_exec –>|invia| tech_dll_hijack tech_dll_hijack –>|esegue| tech_user_activity tech_dll_hijack –>|usa| tech_rc_scripts tech_rc_scripts –>|crea| tech_scheduled_task tech_scheduled_task –>|esegue| tech_powershell tech_powershell –>|confeziona| tech_compress tech_compress –>|include| tech_dynamic_api tech_compress –>|abilita| tech_process_injection tech_process_injection –>|usa| tech_process_hollow tech_process_hollow –>|raccoglie| tech_sysinfo tech_process_hollow –>|scopre| tech_browser_info tech_process_hollow –>|ruba| tech_browser_creds tech_process_hollow –>|ruba| tech_file_creds tech_process_hollow –>|ruba| tech_private_keys tech_process_hollow –>|sfrutta| tech_web_cookie "
Flusso di Attacco
Rilevazioni
Possibile Creazione di Attività Pianificata (tramite powershell)
Visualizza
Utilità di Compressione Passata in Directory Insolita (tramite cmdline)
Visualizza
Esecuzione di Python da Cartelle Sospette (tramite cmdline)
Visualizza
La Possibilità di Esecuzione Tramite Linee di Comando PowerShell Nascoste (tramite cmdline)
Visualizza
Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (tramite registry_event)
Visualizza
IOC (SourceIP) per rilevare: Quel “job brief” su Google Forms potrebbe infettare il tuo dispositivo
Visualizza
IOC (HashSha256) per rilevare: Quel “job brief” su Google Forms potrebbe infettare il tuo dispositivo
Visualizza
IOC (DestinationIP) per rilevare: Quel “job brief” su Google Forms potrebbe infettare il tuo dispositivo
Visualizza
Rilevazione Query WMI PureHVNC [Windows Sysmon]
Visualizza
Esecuzione Sospetta di PDF ed Estrazione ZIP con Esecuzione di Script Python [Creazione Processo Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Check Pre-volo di Telemetria & Base deve essere passato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per innescare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa Attacco & Comandi:
Un operatore ha compromesso l’endpoint e distribuito PureHVNC. Lo strumento avvia un processo PowerShell nascosto che emette tre distinte query WMI per raccogliere informazioni sul sistema:SELECT Caption FROM Win32_OperatingSystem– raccoglie la versione del sistema operativo.SELECT * FROM AntiVirusProduct– enumera i prodotti AV installati.SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')– rileva le fotocamere e i dispositivi di imaging collegati.
Le query sono eseguite tramitewmicper mimetizzarsi con l’attività amministrativa legittima, ma le stringhe esatte corrispondono alla regola di rilevamento’sbloccoselezione.
-
Script di Test di Regressione:
# Simulazione di query WMI PureHVNC – innesca la regola di rilevamento $queries = @( "SELECT Caption FROM Win32_OperatingSystem", "SELECT * FROM AntiVirusProduct", "SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')" ) foreach ($q in $queries) { # Usa wmic per eseguire la query; wmic stampa l'output su stdout wmic /namespace:rootcimv2 path __Namespace where "Name='root'" call CreateInstance $q 2>$null # Forza una breve pausa per garantire che ciascun evento sia registrato separatamente Start-Sleep -Milliseconds 500 } -
Comandi di Pulizia:
# Rimuovi eventuali file temporanei e termina i processi wmic rimanenti Get-Process wmic -ErrorAction SilentlyContinue | Stop-Process -Force # Nessun artefatto persistente viene creato dallo script sopra.