FamousSparrow prende di mira il settore petrolifero e del gas dell’Azerbaigian
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
I laboratori di Bitdefender hanno identificato un’intrusione a più ondate che ha preso di mira un’azienda petrolifera e del gas azera tra dicembre 2025 e febbraio 2026. Gli aggressori hanno sfruttato le catene ProxyShell e ProxyNotShell per compromettere Microsoft Exchange, quindi hanno distribuito le backdoor Deed RAT e Terndoor attraverso tecniche avanzate di sideloading DLL, tornando ripetutamente attraverso lo stesso punto di accesso iniziale. Bitdefender ha attribuito l’attività con fiducia moderata-alta al gruppo APT collegato alla Cina, FamousSparrow. La campagna ha anche mostrato sofisticati metodi di evasione, tra cui hook API e attivazione del loader a fasi.
Indagine
I ricercatori hanno documentato tre ondate distinte di attività. La prima ha coinvolto il dispiegamento di web shell su Exchange, seguito dalla consegna di Deed RAT utilizzando un servizio che somigliava a LogMeIn Hamachi. La seconda ondata ha tentato di distribuire Terndoor attraverso una catena basata su USOShared e driver, mentre l’ultima ondata è tornata a Deed RAT con dati di configurazione aggiornati. L’analisi tecnica ha rivelato routine personalizzate di crittografia, decrittazione RC4 e AES-CBC, compressione LZNT1 e Deflate e una struttura dell’intestazione simile al PE personalizzata. Gli aggressori si sono poi mossi lateralmente tramite RDP utilizzando un account amministratore di dominio e hanno impiegato strumenti SMB del framework Impacket.
Mitigazione
Le organizzazioni dovrebbero aggiornare i server Exchange senza indugio e correggere tutte le esposizioni note di ProxyShell e ProxyNotShell. La segmentazione della rete può aiutare a ridurre l’impatto del riutilizzo delle credenziali e del movimento laterale. I difensori dovrebbero anche implementare rilevamenti comportamentali per il sideloading DLL, hook API e creazione di servizi sospetti. Sono raccomandati anche controlli rigorosi sull’accesso RDP privilegiato e sugli strumenti di esecuzione remota basati su SMB.
Risposta
I team di sicurezza dovrebbero allertare sulla creazione di file web shell all’interno delle directory IIS, servizi Windows inaspettati chiamati LogMeIn Hamachi e registrazioni di servizi driver lanciati da percorsi scrivibili dagli utenti. Il traffico HTTPS verso domini insoliti come virusblocker.it.com and sentinelonepro.com dovrebbe essere correlato con altre attività sospette. Gli investigatori dovrebbero anche esaminare qualsiasi processo che corregge StartServiceCtrlDispatcherW o carica DLL sospette accanto a binari legittimi.
"graph TB %% Definizioni di classi classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef technique fill:#e0e0e0 %% Definizioni nodi initial_access["<b>Accesso Iniziale</b> – <b>T1210 Sfruttamento di Servizi Remoti</b><br/><b>ID Tecnica</b>: T1210<br/><b>Descrizione</b>: Sfrutta servizi remoti vulnerabili come il server Exchange utilizzando ProxyShell o ProxyNotShell."] class initial_access action persistence_webshell["<b>Persistenza</b> – <b>T1505.003 Web Shell</b><br/><b>ID Tecnica</b>: T1505.003<br/><b>Descrizione</b>: Distribuisce una web shell su server compromesso per accesso persistente."] class persistence_webshell action malicious_service["<b>Persistenza</b> – <b>T1569 Servizi di Sistema</b><br/><b>ID Tecnica</b>: T1569<br/><b>Descrizione</b>: Crea un servizio malevolo mascherato da LogMeIn Hamachi per la persistenza."] class malicious_service action tool_logmein["<b>Strumento</b> – <b>Nome</b>: LogMeIn Hamachi<br/><b>Descrizione</b>: Servizio VPN legittimo utilizzato come copertura."] class tool_logmein tool execution_proxy["<b>Esecuzione</b> – <b>T1218 Esecuzione Proxy di Binario Firmato</b><br/><b>ID Tecnica</b>: T1218<br/><b>Descrizione</b>: Usa binario di sistema legittimo per avviare codice malevolo."] class execution_proxy action execution_masquerade["<b>Esecuzione</b> – <b>T1036 Mascheramento</b><br/><b>ID Tecnica</b>: T1036<br/><b>Descrizione</b>: Rinomina eseguibile malevolo come LMIGuardianSvc.exe per mimetizzarsi."] class execution_masquerade action malware_lmi["<b>Malware</b> – <b>Nome</b>: LMIGuardianSvc.exe<br/><b>Descrizione</b>: Carica DLL malevola dopo essere stato eseguito."] class malware_lmi malware defense_reflective["<b>Evasione Difensiva</b> – <b>T1620 Caricamento di Codice Riflettente</b><br/><b>ID Tecnica</b>: T1620<br/><b>Descrizione</b>: Carica codice in memoria senza toccare il disco."] class defense_reflective action defense_processhollow["<b>Evasione Difensiva</b> – <b>T1055.012 Process Hollowing</b><br/><b>ID Tecnica</b>: T1055.012<br/><b>Descrizione</b>: Sostituisci memoria di processi legittimi con codice malevolo."] class defense_processhollow action defense_threadhijack["<b>Evasione Difensiva</b> – <b>T1055.003 Hijacking dei Thread</b><br/><b>ID Tecnica</b>: T1055.003<br/><b>Descrizione</b>: Dirottamento dei thread di un processo in esecuzione."] class defense_threadhijack action defense_hide["<b>Evasione Difensiva</b> – <b>T1564.010 Nascondere Artefatti</b><br/><b>ID Tecnica</b>: T1564.010<br/><b>Descrizione</b>: Nascondi componenti malevoli dal rilevamento."] class defense_hide action payload_decrypt["<b>Elaborazione del Carico</b> – <b>T1560.003 Decompressione degli Archivi</b><br/><b>ID Tecnica</b>: T1560.003<br/><b>Descrizione</b>: Decrittazione e decompressione del carico prima dell’esecuzione."] class payload_decrypt action lateral_movement["<b>Movimento Laterale</b> – <b>T1078 Account Validi</b><br/><b>ID Tecnica</b>: T1078<br/><b>Descrizione</b>: Usa credenziali rubate per muoversi lateralmente via RDP e condivisioni admin SMB."] class lateral_movement action tool_impacket["<b>Strumento</b> – <b>Nome</b>: Impacket<br/><b>Descrizione</b>: Libreria Python per protocolli di rete utilizzata per pivotare."] class tool_impacket tool c2_https["<b>Comando e Controllo</b> – <b>T1071.001 Protocolli Web HTTPS</b><br/><b>ID Tecnica</b>: T1071.001<br/><b>Descrizione</b>: Comunica con server C2 attraverso HTTPS crittografato."] class c2_https action c2_contentinject["<b>Comando e Controllo</b> – <b>T1659 Iniezione di Contenuti</b><br/><b>ID Tecnica</b>: T1659<br/><b>Descrizione</b>: Inietta contenuto malevolo nelle risposte HTTP legittime."] class c2_contentinject action impact_kernel["<b>Impatto</b> – <b>T1014 Rootkit</b><br/><b>ID Tecnica</b>: T1014<br/><b>Descrizione</b>: Tenta di installare il driver kernel Terndoor per la persistenza profonda."] class impact_kernel action %% Connessioni initial_access –>|porta_a| persistence_webshell persistence_webshell –>|porta_a| malicious_service malicious_service –>|usa| tool_logmein malicious_service –>|porta_a| execution_proxy execution_proxy –>|usa| execution_masquerade execution_masquerade –>|carica| malware_lmi malware_lmi –>|esegue| defense_reflective defense_reflective –>|esegue| defense_processhollow defense_processhollow –>|esegue| defense_threadhijack defense_threadhijack –>|esegue| defense_hide defense_hide –>|abilita| payload_decrypt payload_decrypt –>|abilita| lateral_movement lateral_movement –>|usa| tool_impacket lateral_movement –>|porta_a| c2_https c2_https –>|usa| c2_contentinject c2_contentinject –>|abilita| impact_kernel "
Flusso di Attacco
Rilevamenti
Possibile Sfruttamento Server Web o WebApp [Windows] (tramite cmdline)
Visualizza
Software di Accesso / Gestione Remoto Alternativo (tramite process_creation)
Visualizza
Possibile Tentativo di Comunicazioni del Dominio di Lookup IP (tramite dns)
Visualizza
IOC (HashMd5) per rilevare: FamousSparrow APT prende di mira l’industria petrolifera e del gas azera
Visualizza
Rilevamento della Comunicazione Command-and-Control di Deed RAT [Connessione di Rete Windows]
Visualizza
DLL Sideloading da FamousSparrow APT nell’Industria Petrolifera e del Gas Azera [Evento File Windows]
Visualizza
## Simulazione di Esecuzione
Prerequisito: Il Controllo Pre-volo di Telemetria e Base deve essere passato.
-
Narrativa dell’Attacco & Comandi:
Un avversario che opera il Deed RAT vuole stabilire un canale C2 persistente per esfiltrare dati e ricevere comandi. Usando PowerShell (T1059.001), il RAT avvia una richiesta GET HTTPS al host malevolo codificato in hard‑coded
sentinelonepro.comsulla porta 443 (T1071.001). Poiché la connessione è in uscita, attraversa il firewall Windows ed è catturata da Sysmon come unNetworkConnectevento. La regola di rilevamento dovrebbe attivarsi su questo evento. -
Script di Test di Regressione:
<# Simulazione Deed RAT C2 – crea una connessione HTTPS in uscita all'host malevolo noto (sentinelonepro.com) sulla porta 443. Questo script è sicuro per il test in un laboratorio isolato; il dominio si risolve a un IP non instradabile (127.0.0.1) per evitare di contattare l'infrastruttura reale di C2. #> # Sovrascrivi la risoluzione DNS per sicurezza (opzionale) $hostsPath = "$env:SystemRootSystem32driversetchosts" if (-not (Select-String -Path $hostsPath -Pattern "sentinelonepro.com")) { Add-Content -Path $hostsPath -Value "`n127.0.0.1 sentinelonepro.com" } # Esegui la richiesta HTTPS (traffico C2 simulato) try { $response = Invoke-WebRequest -Uri "https://sentinelonepro.com/heartbeat" ` -UseBasicParsing ` -Headers @{ "User-Agent" = "DeedRAT/1.0" } ` -TimeoutSec 10 Write-Host "Richiesta C2 completata, codice di stato:" $response.StatusCode } catch { Write-Warning "Richiesta C2 fallita (previsto in laboratorio isolato): $_" } -
Comandi di Pulizia:
# Rimuovi l'entrata temporanea dagli hosts $hostsPath = "$env:SystemRootSystem32driversetchosts" (Get-Content $hostsPath) | Where-Object { $_ -notmatch "sentinelonepro.com" } | Set-Content $hostsPath # Cancella eventuali file residui Remove-Item -Path "$env:TEMPexample.html" -ErrorAction SilentlyContinue