BlackToad Utilizza la Manipolazione di Rete in un Payload AutoIt

SOC Prime Team

Segui

BlackToad Utilizza la Manipolazione di Rete in un Payload AutoIt

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Sommario

JUMPSEC ha scoperto una campagna di phishing che distribuisce un payload Remcos RAT nascosto all’interno di un crypter AutoIt personalizzato. La catena d’infezione utilizza uno script VBS per eseguire ipconfig /release seguito da ipconfig /renew, interrompendo brevemente la connettività di rete come metodo per eludere il rilevamento. I ricercatori hanno collegato la campagna all’ecosistema e-crime nigeriano, con infrastrutture che si basano su domini DNS dinamici ospitati dietro connessioni ISP mobile.

Indagine

L’indagine ha seguito l’email malevola, decomprimendo l’archivio autoestraente WinRAR e identificando un loader VBS che avviava un interprete AutoIt camuffato. Lo script AutoIt ha successivamente decriptato ed eseguito l’impianto Remcos, mentre la configurazione recuperata ha esposto i domini di comando e controllo, il valore del mutex e una chiave Run di persistenza. I ricercatori hanno mappato l’infrastruttura di supporto a tre domini DNS dinamici e un set rotante di indirizzi IP nigeriani.

Mitigazione

Le organizzazioni dovrebbero bloccare i domini DNS dinamici identificati e gli intervalli di IP associati, monitorare la sequenza sospetta ipconfig /release and ipconfig /renew e rilevare script AutoIt o VBS che generano cmd.exe. Si dovrebbero anche applicare controlli d’esecuzione rigorosi ai file con doppi estensioni fuorvianti, mentre voci di registro Run come WindowsUpdate dovrebbero essere monitorate per abusi.

Risposta

Se quest’attività viene rilevata, isolare immediatamente l’endpoint interessato, terminare il processo Remcos, rimuovere la chiave Run malevola utilizzata per la persistenza ed eseguire una revisione forense completa per il furto di credenziali o attività successive. Anche il contenuto di rilevamento dovrebbe essere aggiornato per identificare la tecnica di blackout della rete e i pattern di nomi di file specifici legati alla campagna.

graph TB %% Definizioni classi classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef data fill:#ccffcc %% Nodi email_phishing[“Azione – T1204.001 Esecuzione utente: link malevolo La vittima riceve un’email con un’immagine contenente un link MediaFire malevolo.”] class email_phishing action download_payload[“Azione – T1566.001 Phishing: allegato spearphishing La vittima scarica un eseguibile WinRAR SFX mascherato come .pdf.scr.”] class download_payload action file_double_ext[“Azione – T1036.007 Mascheramento: doppia estensione file Il file chiamato invoice.pdf.scr nasconde un eseguibile .scr.”] class file_double_ext action script_vbs[“Azione – T1059.005 Interprete di comandi e script: Visual Basic Lo script VBS (flvs.vbe) costruisce una stringa cmd.exe ed esegue comandi.”] class script_vbs action tool_autoi[“Strumento – Nome: Interprete AutoIt (rinominato come .xls) Scopo: Esegue script AutoIt malevoli.”] class tool_autoi tool script_autoi_obf[“Azione – T1059.010 Interprete di comandi e script: AutoIt/AutoHotKey Viene eseguito uno script AutoIt fortemente offuscato.”] class script_autoi_obf action obfusc_junk[“Azione – T1027.016 File o informazioni offuscate: inserimento di codice spazzatura Lo script contiene 88 MB di blocchi di commenti privi di significato.”] class obfusc_junk action obfusc_stripped[“Azione – T1027.008 File o informazioni offuscate: payload ridotti Payload confezionato all’interno di grandi dati filler con codifica esadecimale personalizzata.”] class obfusc_stripped action malware_remcos[“Malware – Nome: Remcos RAT Funzione: Accesso e controllo remoto.”] class malware_remcos malware c2_dns[“Azione – T1071.004 Protocollo di livello applicazione: DNS Comunica con server C2 tramite hostname Dynamic DNS su TLS cifrato.”] class c2_dns action persistence_autostart[“Azione – T1547.014 Esecuzione automatica all’avvio o logon: Active Setup Crea la chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate.”] class persistence_autostart action trusted_util[“Azione – T1127 Esecuzione proxy tramite utility di sviluppo affidabili Usa l’interprete AutoIt legittimo come utility affidabile per eseguire codice malevolo.”] class trusted_util action deobfuscation[“Azione – T1140 Deoffuscare/decodificare file o informazioni I ricercatori decodificano PE codificati in esadecimale personalizzato e configurazioni Remcos cifrate con RC4.”] class deobfuscation action %% Connessioni email_phishing –>|porta a| download_payload download_payload –>|contiene| file_double_ext file_double_ext –>|attiva| script_vbs script_vbs –>|carica| tool_autoi tool_autoi –>|esegue| script_autoi_obf script_autoi_obf –>|include| obfusc_junk script_autoi_obf –>|include| obfusc_stripped script_autoi_obf –>|avvia| malware_remcos malware_remcos –>|usa| c2_dns malware_remcos –>|stabilisce| persistence_autostart tool_autoi –>|usato_come| trusted_util obfusc_junk –>|facilita| deobfuscation obfusc_stripped –>|facilita| deobfuscation

Flusso di Attacco

Narrazione & Comandi di Attacco:
1. Obiettivo: Stabilire un canale C2 con l’impianto Remcos di BlackToad utilizzando uno dei domini DDNS malevoli noti sulla porta hardcoded 50240.
2. Passo-passo:
  - Risolvi il dominio malevolo DDNS scelto (pmitm.ddns.net).
  - Apri un socket TCP all’IP risolto sulla porta 50240.
  - Invia un payload minimo di “heartbeat” per emulare la stretta di mano iniziale dell’impianto.
  - Tieni il socket aperto per 30 secondi per garantire che il firewall registri la connessione in uscita.
3. La connessione in uscita corrisponde esattamente alla regola di Sigma destination.ip elenco e destination.port criteri, producendo un evento di firewall rilevabile.

Script di Test di Regressione:

 # Simulazione di comunicazione C2 di BlackToad (PowerShell)
  $c2Domain = "pmitm.ddns.net"      # uno dei domini elencati nella regola
  $c2Port   = 50240

  try {
      # Risolvi il dominio in IP (aggiunge telemetria query DNS)
      $ip = [System.Net.Dns]::GetHostAddresses($c2Domain) |
            Where-Object { $_.AddressFamily -eq 'InterNetwork' } |
            Select-Object -First 1

      if (-not $ip) { throw "Impossibile risolvere $c2Domain" }

      Write-Host "Risolto $c2Domain a $($ip.IPAddressToString). Collegamento..."

      # Apri connessione TCP (genera log di uscita firewall)
      $client = New-Object System.Net.Sockets.TcpClient
      $client.Connect($ip, $c2Port)

      # Invia un semplice heartbeat (hex 0x01)
      $stream = $client.GetStream()
      $payload = [byte[]](0x01)
      $stream.Write($payload, 0, $payload.Length)

      Write-Host "Heartbeat inviato. Connessione mantenuta attiva per 30 secondi..."
      Start-Sleep -Seconds 30

      $stream.Close()
      $client.Close()
      Write-Host "Connessione chiusa correttamente."
  }
  catch {
      Write-Error "Simulazione fallita: $_"
  }

Comandi di Pulizia:

 # Assicurati che eventuali socket rimanenti siano chiusi
  Get-NetTCPConnection -RemotePort 50240 -State Established |
      ForEach-Object { Stop-Process -Id $_.OwningProcess -Force }
  # Facoltativo: Svuota la cache DNS per rimuovere l'entry DDNS risolta
  ipconfig /flushdns
  Write-Host "Pulizia completata."

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis