SOC Prime Bias: Media

21 Apr 2026 18:16
newspaper icon Splunk

Non solo annunci fastidiosi: bundle adware che consegnano Gh0st RAT

Author Photo
Ruslan Mikhalov Capo della Ricerca sulle Minacce presso SOC Prime linkedin icon Segui
Non solo annunci fastidiosi: bundle adware che consegnano Gh0st RAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sommario

Una recente campagna distribuisce il Trojan Gh0st Remote Access insieme al componente adware CloverPlus. Il suo caricatore nasconde due risorse crittografate, le scrive in posizioni scelte a caso e avvia il RAT tramite rundll32.exe. Il malware combina diversi metodi di persistenza con la manipolazione dei token, il dirottamento DNS e il keylogging per mantenere l’accesso nel tempo, generando inoltre entrate tramite l’abuso di click su annunci pubblicitari. L’uso di binari Windows legittimi e l’offuscamento a strati rendono la rilevazione più difficile.

Investigazione

Il team di ricerca sulle minacce Splunk ha decompilato il caricatore e confermato che trasportava sia una DLL Gh0st RAT incorporata che il modulo adware CloverPlus. L’analisi comportamentale ha rivelato l’escalation dei privilegi dei token, controlli di registro per ambienti basati su VMware, l’uso di un risolutore dead-drop, ritardi basati su ping, spoofing DNS e diverse tecniche di persistenza radicate nel Registro di sistema Windows. Gli investigatori hanno anche documentato indicatori, inclusa l’esecuzione insolita, il lancio dei payload da rundll32.exe esecuzione, lancio dei payload da %temp%, e modifiche specifiche al registro collegate alla catena di infezione.

Mitigazione

I difensori dovrebbero monitorare il caricamento di file con estensioni insolite o l’esecuzione di contenuti da directory non standard. I team di sicurezza dovrebbero anche bloccare o segnalare la creazione dell’entrata di registro rundll32.exe RemoteAccess RemoteAccess gestore del router e modifiche sospette alle chiavi Run. I controlli di rete dovrebbero limitare l’accesso all’URL identificato come risolutore dead-drop e segnalare il comportamento di sonno basato su ping associato all’elusione malware. Le politiche di controllo delle applicazioni possono ulteriormente ridurre il rischio impedendo il caricamento di DLL non autorizzate.

Risposta

Quando viene rilevata questa attività, isolare l’host interessato, raccogliere prove volatili insieme alle DLL sospette e eseguire ricerche basate su hash per confermare la minaccia. Rimuovere eventuali voci del registro malevole e servizi utilizzati per la persistenza. Reimpostare le credenziali esposte, in particolare quelle legate all’uso di RDP, e controllare le impostazioni DNS e il file hosts per modifiche non autorizzate. È poi opportuna una revisione forense completa per verificare che non rimangano backdoor o payload secondari aggiuntivi.

"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef technique fill:#eeeeee classDef operator fill:#ff9900 %% Nodes u2013 Step 1 Loader Execution tool_wiseman["<b>Tool</b> – Name: wiseman.exe<br/><b>Description</b>: Caricatore che decrittografa i payload incorporati (Gh0st RAT DLL e adware CloverPlus)."] class tool_wiseman tool action_loader["<b>Action</b> – Esecuzione del Caricatore"] class action_loader action tech_reflective["<b>Technique</b> – T1620 Caricamento di Codici Riflettente<br/>Carica il codice in memoria senza scriverlo su disco."] class tech_reflective technique tech_obfuscate["<b>Technique</b> – T1027.009 File o Informazioni Offuscate: Payload Incorporati<br/>I payload sono crittografati/offuscati all’interno del caricatore."] class tech_obfuscate technique %% Connections u2013 Step 1 tool_wiseman –>|esegue| action_loader action_loader –>|usa| tech_reflective action_loader –>|usa| tech_obfuscate %% Nodes u2013 Step 2 Write DLL and launch via rundll32 process_write_dll["<b>Process</b> – Scrive la DLL nella cartella casuale in C:WindowsSystem32"] class process_write_dll process malware_gh0st["<b>Malware</b> – Gh0st RAT DLL"] class malware_gh0st malware tool_rundll32["<b>Tool</b> – rundll32.exe<br/><b>Scopo</b>: Esegue le DLL come se fossero eseguibili"] class tool_rundll32 tool %% Connections u2013 Step 2 action_loader –>|scrive| process_write_dll process_write_dll –>|contiene| malware_gh0st malware_gh0st –>|lanciato da| tool_rundll32 %% Nodes u2013 Step 3 Token Manipulation tech_token["<b>Technique</b> – T1134.002 Manipolazione di Token di Accesso: Creare Processo con Token<br/>Abilita SeDebugPrivilege per operazioni successive."] class tech_token technique %% Connection u2013 Step 3 action_loader –>|modifica token| tech_token %% Nodes u2013 Step 4 Process Discovery of DNS service tech_proc_discovery["<b>Technique</b> – T1057 Scoperta di Processo<br/>Enumera i processi in esecuzione, identifica il servizio DNS (porta 53)."] class tech_proc_discovery technique tech_win_window["<b>Technique</b> – T1010 Scoperta Finestra Applicazione<br/>Raccoglie titoli delle finestre per aiutare nell’identificazione del processo."] class tech_win_window technique %% Connection u2013 Step 4 tech_token –>|esegue| tech_proc_discovery tech_proc_discovery –>|integra| tech_win_window %% Nodes u2013 Step 5 Terminate DNS and delete file tech_process_injection["<b>Technique</b> – T1055.003 Iniezione di Processo: Dirottamento dell’Esecuzione del Thread<br/>Dirotta il thread del processo DNS per terminarlo."] class tech_process_injection technique tech_masquerade["<b>Technique</b> – T1036.009 Mascheramento: Rompere Alberi di Processo<br/>Crea una gerarchia di processo falsa per nascondere attività malevole."] class tech_masquerade technique tech_file_deletion["<b>Technique</b> – T1070.004 Cancellazione File<br/>Cancella il file eseguibile DNS originale dopo la sua terminazione."] class tech_file_deletion technique %% Connections u2013 Step 5 tech_proc_discovery –>|obiettivi| tech_process_injection tech_process_injection –>|accompagna| tech_masquerade tech_masquerade –>|porta a| tech_file_deletion %% Nodes u2013 Step 6 Virtual Machine Discovery tech_vm_discovery["<b>Technique</b> – T1673 Scoperta di Macchina Virtuale<br/>Interroga chiave di registro VMware per rilevare l’ambiente di analisi."] class tech_vm_discovery technique %% Connection u2013 Step 6 tech_token –>|controlla| tech_vm_discovery %% Nodes u2013 Step 7 Deadu2011Drop Resolver tool_ping["<b>Tool</b> – ping.exe<br/><b>Utilizzo</b>: Introduce un ritardo prima di ulteriori azioni."] class tool_ping tool tech_dead_drop["<b>Technique</b> – T1102.001 Web Service: Risolutore Dead Drop<br/>Scarica una pagina Web da un URL malevolo per ottenere l’indirizzo C2."] class tech_dead_drop technique %% Connection u2013 Step 7 tech_vm_discovery –>|se VM rilevata| tech_dead_drop tech_dead_drop –>|usa| tool_ping %% Nodes u2013 Step 8 Delay Execution tech_delay["<b>Technique</b> – T1678 Esecuzione Ritardata<br/>Usa ping -n per attendere prima di eseguire il payload."] class tech_delay technique %% Connection u2013 Step 8 tool_ping –>|implementa| tech_delay %% Nodes u2013 Step 9 Hosts file modification and DNS spoofing tech_hosts_mod["<b>Technique</b> – T1568.002 Spoofing Email (adattato per spoofing DNS)<br/>Modifica il file hosts e crea risposte DNS contraffatte per bloccare i domini di sicurezza."] class tech_hosts_mod technique %% Connection u2013 Step 9 tech_delay –>|modifica| tech_hosts_mod %% Nodes u2013 Step 10 Flush DNS cache action_flush_dns["<b>Action</b> – Eliminare Cache DNS<br/>Esegue ipconfig /flushdns per garantire che le voci malevole abbiano effetto."] class action_flush_dns action %% Connection u2013 Step 10 tech_hosts_mod –>|seguito da| action_flush_dns %% Nodes u2013 Step 11 Collect hardware identifiers tech_snmp_dump["<b>Technique</b> – T1602.001 Dati da Repository di Configurazione: SNMP (Dump MIB)<br/>Raccoglie ID hardware come l’indirizzo MAC."] class tech_snmp_dump technique tech_net_config["<b>Technique</b> – T1602.002 Dati da Repository di Configurazione: Dump Configurazione Dispositivo di Rete<br/>Raccoglie numero di serie del disco rigido."] class tech_net_config technique %% Connections u2013 Step 11 action_flush_dns –>|raccoglie| tech_snmp_dump action_flush_dns –>|raccoglie| tech_net_config %% Nodes u2013 Step 12 Persistence via service and Run key tech_service_creation["<b>Technique</b> – T1543.003 Creare o Modificare Processo Systema: Servizio Windows<br/>Crea un nuovo servizio Windows che punta alla DLL malevola."] class tech_service_creation technique tech_run_key["<b>Technique</b> – T1547.001 Chiavi Registry Run/Cartella Avvio<br/>Scrive una voce di registro Run riferendo alla DLL malevola."] class tech_run_key technique %% Connections u2013 Step 12 tech_snmp_dump –>|abilita| tech_service_creation tech_snmp_dump –>|abilita| tech_run_key %% Nodes u2013 Step 13 Hijack Execution Flow via Service Registry tech_hijack_service["<b>Technique</b> – T1574.011 Dirottare Flusso di Esecuzione: Debolezza Permessi Registry Servizi<br/>Registra DLL sotto RemoteAccessRouterManagersIp (DllPath) e riavvia il servizio per l’auto-esecuzione."] class tech_hijack_service technique %% Connection u2013 Step 13 tech_service_creation –>|usa| tech_hijack_service tech_run_key –>|usa anche| tech_hijack_service %% Operators for logical grouping (optional) op_and1(("AND")) class op_and1 operator %% Example logical flow grouping action_loader –>|porta a| op_and1 op_and1 –>|prosegue con| tech_proc_discovery "

Flusso di Attacco

Simulazione

Stiamo ancora aggiornando questa parte. Iscriviti per essere notificato

Notificami

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis