Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
AhnLab ha scoperto una campagna di phishing che distribuisce file LNK malevoli mascherati da notifiche di posta sicura di un importante fornitore di carte di credito coreano. Quando aperto, il collegamento lancia un HTA tramite mshta.exe e PowerShell, quindi scarica payload successivi che cambiano a seconda del fatto che Windows Defender sia abilitato. Se Defender è attivo, gli aggressori usano curl per recuperare file criptati che vengono poi decompressi ed eseguiti. Se Defender è disabilitato, la catena passa al caricamento diretto delle DLL e ad ulteriori attività di downloader. Il malware risultante supporta il furto di informazioni, keylogging, raccolta degli appunti e capacità di backdoor.
Indagine
L’indagine ha dimostrato che il file LNK iniziale avvia mshta.exe, che esegue un HTA contenente VBScript offuscato. Quell’HTA scarica pipe.zip, che include script codificati in Base64 denominati 1.log, 1.ps1, e 2.log, tutti decodificati ed eseguiti in memoria. Quando Defender è inattivo, il malware invece scarica user.txt and sys.log, decripta sys.log in sys.dll, ed esegue tramite rundll32. L’analisi dei user.txt decriptati ha esposto tre URL di Google Drive utilizzati per recuperare ulteriori file malevoli, inclusi notepad.log, net, e app, che sono memorizzati sotto %LOCALAPPDATA%.
Mitigazione
Le difese consigliate includono la verifica della legittimità degli allegati di posta elettronica, la prevenzione dell’esecuzione automatica di file LNK e il monitoraggio per l’uso sospetto di mshta.exe and curl. I team di sicurezza dovrebbero anche cercare e rimuovere file come 1.log, 1.ps1, 2.log, notepad.log, net, e app da %TEMP% and %LOCALAPPDATA%. Inoltre, i difensori dovrebbero ispezionare il sistema per cambiamenti imprevisti al registro e garantire che Windows Defender o un’altra piattaforma di protezione endpoint rimanga abilitata e correttamente configurata.
Risposta
Se viene rilevata questa attività, isolare immediatamente il sistema interessato, terminare i mshta.exe, curl, o rundll32 processi che eseguono file sconosciuti e conservare gli artefatti malevoli per l’analisi forense. Eseguire una scansione completa del sistema, reimpostare eventuali credenziali potenzialmente esposte e monitorare per attività di backdoor successive legate a notepad.log. Il contenuto delle rilevazioni dovrebbe essere aggiornato con gli indicatori di compromissione osservati, e i controlli di sicurezza della posta elettronica dovrebbero essere rafforzati per bloccare futuri inganni di phishing simili.
"graph TB %% Class definitions classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Nodes initial_user_exec["<b>Technique</b> – <b>T1204.002 User Execution: Malicious File</b><br/>Victim opens .lnk disguised as secure email from creditu2011card company."] class initial_user_exec action exec_mshta["<b>Technique</b> – <b>T1218.005 System Binary Proxy Execution: Mshta</b><br/>LNK launches PowerShell which runs mshta.exe to fetch remote HTA containing obfuscated VBScript."] class exec_mshta action exec_powershell["<b>Technique</b> – <b>T1059.001 Command and Scripting Interpreter: PowerShell</b><br/>PowerShell downloads additional payloads via curl."] class exec_powershell action masquerade["<b>Technique</b> – <b>T1036.008 Masquerading: Masquerade File Type</b><br/>LNK file masquerades as secure mail."] class masquerade action obfuscate["<b>Technique</b> – <b>T1027 Obfuscated Files or Information</b><br/>Payloads encrypted with AES, Base64u2011encoded; LNK icon smuggling."] class obfuscate action sandbox_evasion["<b>Technique</b> – <b>T1497.002 Virtualization/Sandbox Evasion: User Activity Based Checks</b><br/>Malware checks Windows Defender status."] class sandbox_evasion action cond_defender["<b>Operator</b> – AND condition based on Defender status"] class cond_defender operator defender_on["<b>Condition</b> – Defender enabled"] class defender_on action defender_off["<b>Condition</b> – Defender disabled"] class defender_off action download_pipe["<b>Action</b> – Downloads pipe.zip, decrypts and extracts 1.log, 1.ps1, 2.log."] class download_pipe action cred_access["<b>Technique</b> – <b>T1539 Browser Session Hijacking</b>, <b>T1185 Web Session Cookie</b>, <b>T1555.003 Credentials from Web Browsers</b><br/>Scripts perform credential access."] class cred_access action collection["<b>Technique</b> – <b>T1056.001 Input Capture: Keylogging</b> and <b>T1115 Clipboard Data</b><br/>Collect keystrokes and clipboard contents."] class collection action download_sys["<b>Action</b> – Downloads user.txt and sys.log, decrypts sys.dll."] class download_sys action load_rundll["<b>Technique</b> – <b>T1218.011 Signed Binary Proxy Execution: Rundll32</b><br/>Loads sys.dll via rundll32."] class load_rundll action persistence_appinit["<b>Technique</b> – <b>T1546.010 Event Triggered Execution: AppInit DLLs</b><br/>sys.dll used for persistence/evasion."] class persistence_appinit action command_control["<b>Technique</b> – <b>T1219 Remote Access Tools</b><br/>notepad.log provides remote command execution, file exfiltration and further data collection."] class command_control action clipboard_phish["<b>Technique</b> – <b>T1204.004 Malicious Copy and Paste</b><br/>Clipboard phishing techniques."] class clipboard_phish action %% Connections initial_user_exec –>|leads to| exec_mshta exec_mshta –>|executes| exec_powershell exec_powershell –>|enables| masquerade masquerade –>|enables| obfuscate obfuscate –>|enables| sandbox_evasion sandbox_evasion –>|triggers| cond_defender cond_defender –>|if Defender enabled| defender_on cond_defender –>|if Defender disabled| defender_off defender_on –>|downloads| download_pipe download_pipe –>|contains| cred_access cred_access –>|enables| collection defender_off –>|downloads| download_sys download_sys –>|loads| load_rundll load_rundll –>|establishes| persistence_appinit persistence_appinit –>|enables| command_control command_control –>|uses| clipboard_phish "
Flusso di Attacco
Rilevamenti
Possibile esecuzione con nome script corto (via cmdline)
Visualizza
Comportamento sospetto di evasione difensiva LOLBAS MSHTA rilevato tramite comandi associati (via process_creation)
Visualizza
Possibile infiltrazione / esfiltrazione dati / C2 tramite servizi / strumenti di terze parti (via proxy)
Visualizza
Possibile infiltrazione / esfiltrazione dati / C2 tramite servizi / strumenti di terze parti (via dns)
Visualizza
Esecuzione Rundll32 con sys.dll in ambienti con Windows Defender disabilitato [Creazione processo Windows]
Visualizza
File LNK malevolo con esecuzione comando mshta [Windows Powershell]
Visualizza
Esecuzione Simulazione
Prerequisito: il controllo preliminare di Telemetria e Baseline deve essere stato superato.
-
Narrativa & Comandi di Attacco:
Un avversario ha ottenuto un punto d’appoggio sull’endpoint e intende eseguire codice arbitrario evitando il controllo tradizionale delle applicazioni. Creano un file HTA malevolo contenente VBScript offuscato che, quando reso, scrive un backdoor PowerShell su disco. Per lanciare l’HTA, utilizzano un collegamento Windows (.lnk) che chiamapowershell.execon un comando che invocamshta.exe. L’esecuzione del collegamento attiva la catena PowerShell →mshtaproducendo la telemetria esatta che la regola monitora. -
Script di Test di Regressione:
# ------------------------------------------------- # 1. Crea HTA malevolo con VBScript offuscato # ------------------------------------------------- $htaPath = "$env:TEMPevil.hta" $vbscript = @" <script language='VBScript'> ' Payload VBScript offuscato (esempio: scrivi un file) Dim fso, f Set fso = CreateObject("Scripting.FileSystemObject") Set f = fso.CreateTextFile("C:WindowsTemppwned.txt", True) f.WriteLine "Compromised by ATT&CK" f.Close </script> "@ Set-Content -Path $htaPath -Value $vbscript -Encoding ASCII # ------------------------------------------------- # 2. Crea un collegamento (.lnk) che esegue PowerShell → mshta # ------------------------------------------------- $lnkPath = "$env:TEMPlaunch_malicious.lnk" $ws = New-Object -ComObject WScript.Shell $shortcut = $ws.CreateShortcut($lnkPath) # Comando PowerShell che lancia mshta con il file HTA $psCommand = "mshta.exe `"$htaPath`"" $shortcut.TargetPath = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" $shortcut.Arguments = "-NoProfile -WindowStyle Hidden -Command `"$psCommand`"" $shortcut.Save() # ------------------------------------------------- # 3. Esegui il collegamento per attivare la rilevazione # ------------------------------------------------- Write-Host "Esecuzione del collegamento malevolo..." & $lnkPath # ------------------------------------------------- # 4. Pausa per consentire la raccolta dei log # ------------------------------------------------- Start-Sleep -Seconds 10 -
Comandi di Pulizia:
# Rimuovi gli artefatti creati Remove-Item -Path "$env:TEMPevil.hta" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlaunch_malicious.lnk" -Force -ErrorAction SilentlyContinue Remove-Item -Path "C:WindowsTemppwned.txt" -Force -ErrorAction SilentlyContinue Write-Host "Pulizia completata."