AsyncRAT Distribuito Attraverso Campagne di Minaccia a Tema AI

SOC Prime Team

Segui

AsyncRAT Distribuito Attraverso Campagne di Minaccia a Tema AI

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Sommario

Gli attori delle minacce stanno sfruttando esche a tema AI per distribuire una catena di infezione malware a più stadi. L’attacco combina script a stadi, loader basati su AutoHotkey e process hollowing per distribuire sia un trojan di accesso remoto .NET che AsyncRAT. Un aspetto notevole della campagna è l’apparente uso dello sviluppo assistito da AI, riflesso nei nomi delle variabili in cinese semplificato e nei commenti nel codice inseriti nel malware.

Indagine

FortiGuard Labs ha esaminato una sequenza di intrusione complessa che iniziava con un archivio ZIP dannoso contenente un file LNK. La loro analisi ha scoperto diversi stadi di estrazione del payload da un contenitore basato su PDF, seguito dall’iniezione riflessiva guidata da AutoHotkey e dalla distribuzione finale di un RAT .NET modulare insieme ad AsyncRAT. I ricercatori hanno anche documentato metodi di offuscamento distinti, tra cui l’astrazione semantica in lingua cinese e logiche di decrittazione personalizzate progettate per nascondere il comportamento del malware.

Mitigazione

Gli utenti dovrebbero essere particolarmente cauti con i file LNK, gli archivi compressi e i documenti ricevuti da fonti non affidabili o inaspettate. Le organizzazioni dovrebbero esaminare le voci di avvio, le attività pianificate e le posizioni del registro per eventuali modifiche non autorizzate. Monitorare le attività sospette di PowerShell e le connessioni di rete in uscita insolite è essenziale per identificare le prime fasi della compromissione.

Risposta

Se viene rilevata questa attività, i soccorritori dovrebbero eseguire una revisione forense del %LOCALAPPDATA% and %APPDATA% directory per identificare script scaricati e artefatti correlati. Task Scheduler dovrebbe essere controllato per compiti sospetti come CheckRealtekAudioVersion or ResetRealtekAudioSettings64. I sistemi interessati dovrebbero essere isolati immediatamente per prevenire ulteriori comunicazioni con i domini e gli indirizzi IP malintenzionati identificati.

"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef technique fill:#ffff99 %% Node Definitions %% Initial Stage action_user_exec["Azione – T1204.002 Esecuzione Utente: File Maligno L’utente apre un archivio compresso contenente un collegamento .lnk dannoso camuffato da guida AI."] class action_user_exec action action_obfuscation["Azione – T1027 File o Informazioni Offuscate Il file .lnk utilizza cmd.exe per eseguire una sequenza di comandi offuscata per estrarre dati da un file PDF nascosto chiamato 3th.pdf."] class action_obfuscation technique %% Staged Execution action_ps_decryption["Azione – T1027.013 File o Informazioni Offuscate: File Crittografato/Codificato Uno script PowerShell esegue la decrittazione AES-CBC e la decodifica Base64 per rivelare un payload salvato come Cache_{GUID}.ps1."] class action_ps_decryption technique %% Persistence and Evasion action_persistence["Azione – T1547 Persistenza Lo script crea un’attività pianificata denominata CheckRealtekAudioVersion per garantire la sopravvivenza."] class action_persistence technique action_exclusion["Azione – T1679 Esclusione Selettiva Il malware utilizza Add-MpPreference per aggiungere l’unità C e powershell.exe alla lista di esclusione di Microsoft Defender."] class action_exclusion technique %% Proxying and Scripting action_cmd_shell["Azione – T1059.003 Interprete di Comando e Script: Shell di Comando di Windows Utilizza la Shell di Comando di Windows per l’esecuzione."] class action_cmd_shell technique action_syncappv["Azione – T1216.002 Esecuzione di Proxy di Script di Sistema: SyncAppvPublishingServer Utilizza un file VBS ResetRealtekAudioSettings64.vbs per agire come mediatore nel lancio di file batch."] class action_syncappv technique %% AutoHotkey Stage tool_autohotkey["Strumento: AutoHotkey.exe Binario legittimo utilizzato per eseguire script .ahk malevoli per logiche complesse."] class tool_autohotkey tool action_ahk_interpreter["Azione – T1059.010 Interprete di Comando e Script: AutoHotKey & AutoIT Gli script .ahk gestiscono l’iniezione di processi e l’orchestrazione."] class action_ahk_interpreter technique %% Injection and Payload action_hollowing["Azione – T1055.012 Iniezione di Processi: Process Hollowing Ricostruisce un payload PE da dati testuali e lo inietta in processi .NET legittimi."] class action_hollowing technique process_dotnet["Processo: Processo .NET Processo legittimo mirato come AddInProcess32.exe per l’iniezione."] class process_dotnet process malware_asyncrat["Malware: AsyncRAT Un Trojan di Accesso Remoto .NET modulare distribuito come payload finale."] class malware_asyncrat malware action_exfiltration["Azione – T1048 Esfiltrazione Attraverso Protocolli Alternativi Esfiltra informazioni di sistema ed esegue sorveglianza tramite domini C2 come shampobiskworld.nl."] class action_exfiltration technique %% Connections %% Initial chain action_user_exec –>|si porta a| action_obfuscation action_obfuscation –>|attiva| action_ps_decryption %% Persistence and Evasion chain action_ps_decryption –>|stabilisce| action_persistence action_ps_decryption –>|esegue| action_exclusion %% Scripting and Proxying chain action_ps_decryption –>|sfrutta| action_cmd_shell action_cmd_shell –>|utilizza| action_syncappv %% AutoHotkey chain action_syncappv –>|esegue| tool_autohotkey tool_autohotkey –>|utilizza| action_ahk_interpreter %% Injection chain action_ahk_interpreter –>|esegue| action_hollowing action_hollowing –>|inietta in| process_dotnet %% Final Payload chain process_dotnet –>|ospita| malware_asyncrat malware_asyncrat –>|esegue| action_exfiltration "

Flusso d’attacco

Narrazione dell’Attacco e Comandi: Un avversario ha ottenuto l’accesso iniziale e si sta preparando per stabilire un canale di Comando e Controllo (C2) persistente utilizzando AsyncRAT. Per evadere il rilevamento basato su firme di rete, l’attaccante utilizza la classe .NET RijndaelManaged per crittografare il traffico. L’attaccante esegue una one-liner PowerShell che instanzia il crittografo, con l’intenzione di incapsulare il battito C2 in un payload crittografato. Questo comando è progettato per attivare la regola di rilevamento basata su stringhe specifiche.

Script di Test di Regressione:

# Simulazione dell'instanziazione di crittografia in stile AsyncRAT in PowerShell
# Questo comando è progettato per corrispondere alla stringa 'RijndaelManaged.CreateEncryptor' nella linea di comando.
$code = "[System.Security.Cryptography.RijndaelManaged]::CreateEncryptor()"
powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "$encryptor = [System.Security.Cryptography.RijndaelManaged]::CreateEncryptor(); Write-Output 'Motore di crittografia inizializzato.'"

Comandi di Ripristino:

# Nessuna modifica persistente fatta dallo script di simulazione; tuttavia, 
# si mantiene la storia di PowerShell svuotata per rimuovere tracce del comando.
Clear-History
Remove-Item (Get-PSReadlineOption).HistorySavePath -ErrorAction SilentlyContinue

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis