Evoluzione del PixyNetLoader di APT28 dal 2024 al 2026

Riepilogo

Il rapporto esamina come APT28 abbia evoluto la sua famiglia di malware PixyNetLoader tra il 2024 e il 2026. Il loader viene distribuito tramite documenti Office dannosi che sfruttano CVE-2026-21509 e installa una DLL registrata COM che estrae un payload nascosto dai file PNG utilizzando la steganografia LSB. Quel payload è un impianto Covenant Grunt che comunica attraverso il servizio cloud FILEN. I ricercatori hanno identificato quattro sotto-famiglie distinte di PixyNetLoader e creato una regola YARA unificata per supportare il rilevamento attraverso le varianti.

Indagine

Gli analisti hanno esaminato circa 90 campioni di malware e li hanno raggruppati in quattro sotto-famiglie basate su funzioni condivise e modelli di hash dell’header Rich. Hanno scoperto che le varianti più recenti introdotte a marzo 2026 hanno aggiunto nuovi metodi di steganografia, inclusi header crittografati AES e derivazione di chiavi basata su PBKDF2. L’indagine ha anche documentato i percorsi di file, le chiavi di registro e i nomi di esportazione delle DLL utilizzati dal malware, e ha prodotto firme YARA per funzionalità comuni in tutta la famiglia.

Mitigazione

I difensori dovrebbero monitorare la registrazione COM sospetta di DLL sconosciute, le specifiche chiavi di registro correlate agli CLSID legate al malware e il rilascio di file PNG in posizioni di staging conosciute. Le difese di rete dovrebbero anche ispezionare il traffico verso il servizio FILEN e le caratteristiche del payload che corrispondono ai modelli di steganografia LSB descritti nelle regole YARA. Le organizzazioni dovrebbero applicare la patch per CVE-2026-21509 e limitare o disabilitare l’esecuzione rischiosa di macro di Office per ridurre l’esposizione.

Risposta

Se viene rilevata l’attività di PixyNetLoader, isolare il punto finale interessato, rimuovere la DLL dannosa e il file PNG associato, e reimpostare qualsiasi registrazione COM compromessa. Gli investigatori dovrebbero raccogliere il payload Covenant Grunt estratto e i registri di rete pertinenti, quindi cercare strumenti correlati di APT28 come SlimAgent o Graphite. Il contenuto di rilevamento dovrebbe anche essere aggiornato e le restrizioni macro implementate costantemente in tutto l’ambiente.

Esecuzione di Simulazione

Prerequisito: Il controllo preliminare del Telemetry & Baseline deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta attesa dalla logica di rilevamento.

• Narrazione e Comandi dell’Attacco:
  Un operatore APT28 ottiene un payload dannoso (e.g., una back‑door PowerShell) e lo incorpora in un PNG utilizzando uno strumento di steganografia personalizzato. L’operatore quindi copia il PNG preparato in una delle località di drop conosciute di PixyNetLoader (SplashScreen.png). La scrittura del file genera un evento di audit di sicurezza di Windows (4663) che corrisponde alla regola Sigma, causando un allarme. L’attaccante si affida a un tipo di file living‑off‑the‑land (PNG) per mimetizzarsi con i dati normali degli utenti ed evitare le firme AV dell’endpoint.

• Script di Test di Regressione:

  # --------------------------------------------------------------
  # Simulazione di steganografia PNG di PixyNetLoader – attiva il rilevamento
  # --------------------------------------------------------------
  
  # 1. Definire il percorso di destinazione (scegliere una delle tre posizioni monitorate)
  $targetPath = "$env:USERPROFILEMicrosoft OneDrivesetupCacheSplashScreen.png"
  
  # 2. Costruire un'intestazione PNG minima (8 byte) – in un attacco reale questo includerebbe
  #    il payload nascosto steganograficamente.
  $pngHeader = [byte[]] (0x89,0x50,0x4E,0x47,0x0D,0x0A,0x1A,0x0A)
  
  # 3. Aggiungere un payload fittizio (e.g., uno script PowerShell codificato in base64)
  $payload = [Text.Encoding]::ASCII.GetBytes(
      "UE9TVCAiZXhlYyAiY2F0IC5leHQiIiA+ICJQYXlsb2FkIg=="
  )   # Base64 di: POST "exec "cat .ext"" > "Payload"
  
  $fileBytes = $pngHeader + $payload
  
  # 4. Scrivere il PNG preparato nella posizione di destinazione
  [IO.File]::WriteAllBytes($targetPath, $fileBytes)
  
  Write-Host "PNG dannoso distribuito in $targetPath"

• Comandi di Pulizia:

  # Rimuovere il PNG dannoso per ripristinare l'host
  $targetPath = "$env:USERPROFILEMicrosoft OneDrivesetupCacheSplashScreen.png"
  if (Test-Path $targetPath) {
      Remove-Item -Path $targetPath -Force
      Write-Host "Rimosso $targetPath"
  } else {
      Write-Host "File non trovato – nulla da pulire."