Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Cisco Talos ha collegato un gruppo APT connesso alla Cina tracciato come UAT-8302 ad attacchi contro organizzazioni governative in Sud America dalla fine del 2024 e nel sud-est dell’Europa durante tutto il 2025. Il gruppo utilizza un ampio set di strumenti malware che include NetDraft, CloudSorcerer v3, VSHELL, SNOWLIGHT, SNOWRUST, e componenti personalizzati aggiuntivi. Le sue operazioni si basano anche su strumenti open-source come Impacket, utilità di proxying e script su misura per supportare ricognizioni, furti di credenziali e movimenti laterali negli ambienti delle vittime.
Indagine
Talos ha documentato la catena di consegna del malware del gruppo, il suo uso di attività pianificate per la persistenza e il suo abuso di servizi attendibili come Microsoft Graph per il comando e controllo. I ricercatori hanno anche osservato loader di sideloading DLL, comandi di ricognizione, utilità di scansione di rete e infrastrutture dedicate alla consegna del payload e accesso remoto. Il rapporto ha inoltre notato sovrapposizioni negli strumenti e nel modus operandi con altri cluster collegati alla Cina, inclusi Jewelbug, Earth Estries, e diversi gruppi tracciati UNC.
Mitigazione
Le organizzazioni dovrebbero correggere le vulnerabilità di cui sopra, inclusi CVE-2025-0994, CVE-2025-20333, e CVE-2025-20362, e applicare controlli rigorosi alle API di Office 365 e OneDrive che potrebbero essere abusate per il comando e controllo. I difensori dovrebbero anche bloccare i domini maligni noti e indirizzi IP, disabilitare i servizi non necessari e limitare l’uso di strumenti di esecuzione remota come Impacket e WMI ove possibile. Il monitoraggio dovrebbe concentrarsi sui nomi delle attività pianificate identificate e sui pattern di sideloading DLL associati alla campagna.
Risposta
I team di sicurezza dovrebbero avvisare sugli indicatori di compromissione elencati, isolare i sistemi compromessi e raccogliere i registri pertinenti e gli artefatti forensi per l’analisi. Le credenziali dovrebbero essere ruotate prontamente, e Active Directory dovrebbe essere esaminato attentamente per segni di compromissione o accesso non autorizzato. Anche il contenuto di rilevamento dovrebbe essere aggiornato per coprire le righe di comando osservate e le attività pianificate, mentre i difensori cercano ulteriori impianti dalle stesse famiglie di malware nell’ambiente.
"grafico TB %% Definizioni di classe classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc classDef operator fill:#ff9900 %% Accesso Iniziale initial_access["<b>Azione</b> – <b>T1190 Sfruttamento Applicazione Esposa al Pubblico</b><br/><b>Descrizione</b>: Sfruttare un servizio vulnerabile esposto a Internet per ottenere un primo punto d’appoggio."] class initial_access action vuln_app["<b>Strumento</b> – <b>Nome</b>: Cityworks (vulnerabile)<br/><b>Descrizione</b>: Applicazione esposta al pubblico contenente CVE-2025-0994."] class vuln_app tool %% Esecuzione – Proxy Binario di Sistema exec_proxy["<b>Azione</b> – <b>T1218.002 Esecuzione Proxy Binario di Sistema</b><br/><b>Descrizione</b>: Abusare di binari di sistema attendibili per eseguire codice malevolo."] class exec_proxy action control_panel["<b>Strumento</b> – <b>Nome</b>: Pannello di Controllo<br/><b>Descrizione</b>: Binario legittimo usato come proxy."] class control_panel tool %% Esecuzione – Proxy di Utilità per Sviluppatori Attendibili (MSBuild) exec_msbuild["<b>Azione</b> – <b>T1127.001 Esecuzione Proxy Utilità per Sviluppatori Attendibili</b><br/><b>Descrizione</b>: Usare MSBuild per caricare DLL malevole tramite side-loading."] class exec_msbuild action msbuild["<b>Strumento</b> – <b>Nome</b>: MSBuild<br/><b>Descrizione</b>: Motore di build Microsoft usato per eseguire file di progetto."] class msbuild tool %% Esecuzione – Moduli Condivisi (DLL Side-Loading) exec_shared["<b>Azione</b> – <b>T1129 Moduli Condivisi</b><br/><b>Descrizione</b>: Caricare DLL malevoli posizionandole accanto a eseguibili benigni."] class exec_shared action yandex_exe["<b>Strumento</b> – <b>Nome</b>: Yandex.exe<br/><b>Descrizione</b>: Eseguibile legittimo usato come dropper."] class yandex_exe tool vmtools_exe["<b>Strumento</b> – <b>Nome</b>: VMtools.exe<br/><b>Descrizione</b>: Binario degli strumenti VMware utilizzato per il side-loading."] class vmtools_exe tool malware_nedraft["<b>Malware</b> – <b>Nome</b>: NetDraft"] class malware_nedraft malware malware_cloudsorcerer["<b>Malware</b> – <b>Nome</b>: CloudSorcerer"] class malware_cloudsorcerer malware malware_vshell["<b>Malware</b> – <b>Nome</b>: VSHELL"] class malware_vshell malware %% Persistenza – Attività Pianificate persistence_task["<b>Azione</b> – <b>T1053 Attività/Job Pianificato</b><br/><b>Descrizione</b>: Creare attività pianificate per eseguire binari malevoli in modo persistente."] class persistence_task action scheduled_task["<b>Strumento</b> – <b>Nome</b>: MicrosoftMaps{…}<br/><b>Descrizione</b>: Attività pianificata utilizzata per persistenza."] class scheduled_task tool %% Evasione Difensiva – Sfruttamento per Evasione defev_evasion["<b>Azione</b> – <b>T1211 Sfruttamento per Evasione Difensiva</b><br/><b>Descrizione</b>: Sfruttare vulnerabilità per bypassare i controlli di sicurezza."] class defev_evasion action %% Evasione Difensiva – Sovversione Controlli di Fiducia (Firmare Codice) defev_signing["<b>Azione</b> – <b>T1553.006 Sovversione Controlli di Fiducia</b><br/><b>Descrizione</b>: Modificare le politiche di firma codice per fidarsi di binari malevoli."] class defev_signing action %% Evasione Difensiva – Pre-OS Boot (ROMMONkit) defev_rommon["<b>Azione</b> – <b>T1542.004 Pre-OS Boot: ROMMONkit</b><br/><b>Descrizione</b>: Installare driver malevoli durante l’avvio del firmware."] class defev_rommon action rommon_driver["<b>Strumento</b> – <b>Nome</b>: Driver Hades HIPS"] class rommon_driver tool %% Scoperta – Account e Gruppi discovery_account["<b>Azione</b> – <b>T1087.002 Scoperta Account: Account di Dominio</b><br/><b>Descrizione</b>: Enumerare account utente di dominio."] class discovery_account action discovery_groups["<b>Azione</b> – <b>T1069.002 Scoperta Gruppi Autorizzazioni: Gruppi di Dominio</b><br/><b>Descrizione</b>: Enumerare gruppi di dominio."] class discovery_groups action %% Scoperta – Rete discovery_netconn["<b>Azione</b> – <b>T1049 Scoperta Connessioni di Rete di Sistema</b><br/><b>Descrizione</b>: Identificare connessioni di rete attive."] class discovery_netconn action discovery_remotes["<b>Azione</b> – <b>T1018 Scoperta Sistema Remoto</b><br/><b>Descrizione</b>: Trovare sistemi remoti sulla rete."] class discovery_remotes action discovery_scanning["<b>Azione</b> – <b>T1595.001 Scansione Attiva: Scansione Blocchi IP</b><br/><b>Descrizione</b>: Scansionare intervalli IP per host attivi."] class discovery_scanning action discovery_netconfig["<b>Azione</b> – <b>T1016.001 Scoperta Configurazione Rete di Sistema: Scoperta Connessione Internet</b><br/><b>Descrizione</b>: Raccolta dettagli di configurazione della rete."] class discovery_netconfig action discovery_cloud["<b>Azione</b> – <b>T1526 Scoperta Servizi Cloud</b><br/><b>Descrizione</b>: Identificare l’uso dei servizi cloud."] class discovery_cloud action discovery_cfg_repo["<b>Azione</b> – <b>T1602 Dati da Repository di Configurazione</b><br/><b>Descrizione</b>: Scaricare configurazione del dispositivo di rete tramite SNMP MIB."] class discovery_cfg_repo action %% Movimento Laterale – Sfruttamento dei Servizi Remoti lateral_wmi["<b>Azione</b> – <b>T1210 Sfruttamento dei Servizi Remoti</b><br/><b>Descrizione</b>: Utilizzare WMI o SMB per eseguire codice su host remoti."] class lateral_wmi action lateral_smb["<b>Azione</b> – <b>T1021.002 Servizi Remoti: Condivisioni Amministrative SMB/Windows</b><br/><b>Descrizione</b>: Accedere a condivisioni amministrative per movimento laterale."] class lateral_smb action lateral_transfer["<b>Azione</b> – <b>T1570 Trasferimento Strumenti Laterali</b><br/><b>Descrizione</b>: Trasferimento strumenti a sistemi remoti."] class lateral_transfer action lateral_taint["<b>Azione</b> – <b>T1080 Contaminazione Contenuti Condivisi</b><br/><b>Descrizione</b>: Avvelenare file condivisi per diffondere malware."] class lateral_taint action lateral_cloud["<b>Azione</b> – <b>T1021.007 Servizi Remoti: Servizi Cloud</b><br/><b>Descrizione</b>: Usare OneDrive o GitHub per movimento laterale."] class lateral_cloud action lateral_rats["<b>Azione</b> – <b>T1219 Strumenti di Accesso Remoto</b><br/><b>Descrizione</b>: Distribuire strumenti come gogo, httpx, SNOWRUST."] class lateral_rats action tool_gogo["<b>Strumento</b> – <b>Nome</b>: gogo"] class tool_gogo tool tool_httpx["<b>Strumento</b> – <b>Nome</b>: httpx"] class tool_httpx tool tool_snowrust["<b>Strumento</b> – <b>Nome</b>: SNOWRUST"] class tool_snowrust tool %% Escalation Privilegi – Manipolazione Account priv_esc["<b>Azione</b> – <b>T1098.007 Manipolazione Account: Gruppi Locali o di Dominio Aggiuntivi</b><br/><b>Descrizione</b>: Aggiungere account compromessi a gruppi privilegiati."] class priv_esc action %% Comando e Controllo – Proxy (multi-hop) c2_proxy["<b>Azione</b> – <b>T1090 Proxy</b><br/><b>Descrizione</b>: Instradare traffico attraverso proxy interni, esterni e multi-hop."] class c2_proxy action c2_proxy_int["<b>Strumento</b> – <b>Nome</b>: Proxy Interno"] class c2_proxy_int tool c2_proxy_ext["<b>Strumento</b> – <b>Nome</b>: Proxy Esterno"] class c2_proxy_ext tool %% Comando e Controllo – Tunneling di Protocollo c2_tunnel["<b>Azione</b> – <b>T1572 Tunneling di Protocollo</b><br/><b>Descrizione</b>: Incapsulare traffico C2 dentro protocolli consentiti."] class c2_tunnel action %% Comando e Controllo – API Cloud c2_cloudapi["<b>Azione</b> – <b>T1059.009 Interprete di Comandi e Script: API Cloud</b><br/><b>Descrizione</b>: Usare API di OneDrive, GitHub, GameSpot per C2."] class c2_cloudapi action c2_onedrive["<b>Strumento</b> – <b>Nome</b>: OneDrive"] class c2_onedrive tool c2_github["<b>Strumento</b> – <b>Nome</b>: GitHub"] class c2_github tool c2_gamespot["<b>Strumento</b> – <b>Nome</b>: GameSpot"] class c2_gamespot tool %% Comando e Controllo – Protocolli Web c2_web["<b>Azione</b> – <b>T1071.001 Protocollo Livello Applicazione: Protocolli Web</b><br/><b>Descrizione</b>: Comunicare tramite HTTP/HTTPS."] class c2_web action %% Comando e Controllo – Canali Multi-Fase c2_multi["<b>Azione</b> – <b>T1104 Canali Multi-Fase</b><br/><b>Descrizione</b>: Collegare più canali C2 per resilienza."] class c2_multi action %% Esfiltrazione – Tramite Servizio Web exfil_web["<b>Azione</b> – <b>T1567.002 Esfiltrazione Tramite Servizio Web</b><br/><b>Descrizione</b>: Carica dati rubati sui servizi di cloud storage."] class exfil_web action %% Connessioni – Flusso di Attacco initial_access –>|exploits| vuln_app vuln_app –>|abilita| exec_proxy exec_proxy –>|usa| control_panel exec_proxy –>|porta a| exec_msbuild exec_msbuild –>|usa| msbuild exec_msbuild –>|facilita| exec_shared exec_shared –>|sfrutta| yandex_exe exec_shared –>|sfrutta| vmtools_exe exec_shared –>|carica| malware_nedraft exec_shared –>|carica| malware_cloudsorcerer exec_shared –>|carica| malware_vshell exec_shared –>|crea| persistence_task persistence_task –>|crea| scheduled_task scheduled_task –>|mantiene| defev_evasion defev_evasion –>|include| defev_signing defev_signing –>|modifica| rommon_driver defev_evasion –>|include| defev_rommon defev_rommon –>|installa| rommon_driver %% Flusso di Scoperta scheduled_task –>|raccoglie| discovery_account scheduled_task –>|raccoglie| discovery_groups scheduled_task –>|raccoglie| discovery_netconn scheduled_task –>|raccoglie| discovery_remotes scheduled_task –>|raccoglie| discovery_scanning scheduled_task –>|raccoglie| discovery_netconfig scheduled_task –>|raccoglie| discovery_cloud scheduled_task –>|raccoglie| discovery_cfg_repo %% Flusso di Movimento Laterale discovery_remotes –>|abilita| lateral_wmi lateral_wmi –>|usa| lateral_smb lateral_smb –>|trasferisce| lateral_transfer lateral_transfer –>|sposta| lateral_cloud lateral_cloud –>|usa| c2_onedrive lateral_cloud –>|usa| c2_github lateral_cloud –>|usa| c2_gamespot lateral_wmi –>|esegue| lateral_rats lateral_rats –>|usa| tool_gogo lateral_rats –>|usa| tool_httpx lateral_rats –>|usa| tool_snowrust %% Flusso di Escalation Privilegi discovery_groups –>|supporta| priv_esc %% Flusso di Comando e Controllo priv_esc –>|riporta a| c2_proxy c2_proxy –>|instrada attraverso| c2_proxy_int c2_proxy –>|instrada attraverso| c2_proxy_ext c2_proxy –>|usa| c2_tunnel c2_tunnel –>|stabilisce| c2_cloudapi c2_cloudapi –>|comunica tramite| c2_onedrive c2_cloudapi –>|comunica tramite| c2_github c2_cloudapi –>|comunica tramite| c2_gamespot c2_cloudapi –>|usa| c2_web c2_web –>|abilita| c2_multi c2_multi –>|consegna| exfil_web %% Stilizzazione class initial_access,exec_proxy,exec_msbuild,exec_shared,persistence_task,defev_evasion,defev_signing,defev_rommon,discovery_account,discovery_groups,discovery_netconn,discovery_remotes,discovery_scanning,discovery_netconfig,discovery_cloud,discovery_cfg_repo,lateral_wmi,lateral_smb,lateral_transfer,lateral_taint,lateral_cloud,lateral_rats,priv_esc,c2_proxy,c2_tunnel,c2_cloudapi,c2_web,c2_multi,exfil_web action class vuln_app,control_panel,msbuild,yandex_exe,vmtools_exe,malware_nedraft,malware_cloudsorcerer,malware_vshell,scheduled_task,rommon_driver,tool_gogo,tool_httpx,tool_snowrust,tool_gogo,tool_httpx,tool_snowrust,c2_proxy_int,c2_proxy_ext,c2_onedrive,c2_github,c2_gamespot tool class rommon_driver malware "
Flusso di Attacco
Rilevamenti
Uso Sospetto di CURL (via cmdline)
Visualizza
Possibile Abuso di Domain di Sviluppo Cloudflare (via dns)
Visualizza
Possibili Pattern di Linea di Comando Impacket (via cmdline)
Visualizza
Possibile Uso di Strumenti Sysinternals (via cmdline)
Visualizza
Powershell che Esegue File in Cartella Sospetta Usando Politica di Esecuzione Bypassata (via cmdline)
Visualizza
Possibile Enumerazione di Sistema (via cmdline)
Visualizza
Possibile Scoperta di Sistema Remoto o Verifica di Connessione (via cmdline)
Visualizza
Possibile Enumerazione di Account o Gruppo Admin (via cmdline)
Visualizza
Scoperta Sospetta di Fiducia di Dominio (via cmdline)
Visualizza
Possibile Scoperta di Configurazione di Rete di Sistema (via cmdline)
Visualizza
Schtasks Punta a Cartella / Binario / Script Sospetto (via cmdline)
Visualizza
LOLBAS wmic (via cmdline)
Visualizza
Uso di Certutil per Codifica dei Dati e Operazioni Certificato (via cmdline)
Visualizza
Esecuzione Sospetta da Profilo Utente Pubblico (via process_creation)
Visualizza
Possibile Raccolta Dati [7zip] (via cmdline)
Visualizza
File Sospetti nel Profilo Utente Pubblico (via file_event)
Visualizza
Download di File Sospetto Tramite IP Diretto (via proxy)
Visualizza
IOC (HashSha256) per rilevare: UAT-8302 e la sua scatola piena di malware
Visualizza
IOC (SourceIP) per rilevare: UAT-8302 e la sua scatola piena di malware
Visualizza
IOC (DestinationIP) per rilevare: UAT-8302 e la sua scatola piena di malware
Visualizza
Creazione Processo di Attività Pianificata e WMIC da parte di UAT-8302 [Creazione Processo Windows]
Visualizza
Rileva Attività di Ricognizione di UAT-8302 PowerShell [Windows PowerShell]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere passato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa & Comandi di Attacco:
Un avversario che ha ottenuto un punto d’appoggio su un host Windows collegato a un dominio desidera condurre una rapida ricognizione di Active Directory e dei registri di sicurezza, rispecchiando il playbook noto di UAT‑8302. Per evitare il rilevamento, l’attaccante prima disabilita la trascrizione di PowerShell, quindi emette le tre righe di comando esatte che la regola di Sigma è sintonizzata per catturare:- Distribuire uno script temporaneo (
whatpc.ps1) nella cartella Temp ed eseguirlo con una politica di esecuzione bypassata. - Enumerare tutti gli utenti AD e le proprietà selezionate in una singola pipeline.
- Elencare la configurazione del log di eventi di sicurezza per valutare ciò che può essere letto o cancellato in seguito.
Questi comandi generano eventi operativi di PowerShell (EventID 4104) i cui
CommandLinecampi corrispondono alleselezioni1‑3clausole della regola, quindi dovrebbero generare un allarme. - Distribuire uno script temporaneo (
-
Script di Test dei Regressioni:
# ------------------------------------------------- # Script di Simulazione di Ricognizione UAT‑8302 # ------------------------------------------------- # 1. Distribuire ed eseguire uno script dummy (whatpc.ps1) $scriptPath = "$env:windirTempwhatpc.ps1" Set-Content -Path $scriptPath -Value '# Script dummy per test di rilevamento' -Encoding ASCII powershell -ExecutionPolicy Bypass -WindowStyle Hidden -File $scriptPath # 2. Enumerazione utenti AD (richiede modulo RSAT AD) powershell -Command "Get-ADUser -Filter * -Property * | Select-Object Name, DisplayName, LastLogonDate, PasswordLastSet, PasswordExpired, Description, EmailAddress, homeDirectory, scriptPath" # 3. Enumerazione log di sicurezza powershell -Command "Get-WinEvent -ListLog Security | Format-List LogName, FileSize, LogMode, MaximumSizeInBytes, RecordCount" # ------------------------------------------------- -
Comandi di Cleanup:
# Rimuovere lo script temporaneo Remove-Item -Path "$env:windirTempwhatpc.ps1" -Force # Facoltativamente cancellare la cronologia della sessione PowerShell (se memorizzata) Clear-History