SOC Prime Bias: Critico

18 Jun 2026 14:28 UTC
newspaper icon picussecurity.com

Tecniche di attacco SloppyLemming & backdoor BurrowShell spiegate

Author Photo
SOC Prime Team linkedin icon Segui
Tecniche di attacco SloppyLemming & backdoor BurrowShell spiegate
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sommario

SloppyLemming è un gruppo di cyber-spionaggio che prende di mira industrie critiche nel Sud e nell’Est dell’Asia. Il gruppo si basa sul phishing mirato per veicolare malware personalizzati, tra cui il backdoor BurrowShell e un keylogger basato su Rust. Sfrutta anche ampiamente i Cloudflare Workers per supportare le attività di comando e controllo e le operazioni di furto di credenziali.

Indagine

Il rapporto descrive una campagna multi-stadio che coinvolge macro Excel malevoli e portali di autenticazione falsificati. I ricercatori hanno identificato i sottodomini Cloudflare progettati per imitare enti governativi e analizzato il shellcode personalizzato del gruppo insieme alle sue capacità di keylogging. L’indagine ha anche mostrato come SloppyLemming eviti l’analisi statica attraverso la risoluzione di API dinamiche e payload criptati RC4.

Mitigazione

Le organizzazioni dovrebbero implementare un filtro di posta elettronica robusto per bloccare allegati malevoli e link di phishing prima della consegna. I team di sicurezza dovrebbero monitorare le modifiche non autorizzate alle chiavi di Run e le relazioni sospette tra processi padre-figlio, inclusa NGenTask.exe caricamento di DLL inattese. Il rilevamento dovrebbe inoltre coprire traffico insolito sui Cloudflare Worker e qualsiasi segno di uso non autorizzato di token OAuth.

Risposta

Se viene rilevata questa attività, isolare immediatamente i sistemi colpiti per fermare ulteriori esfiltrazioni tramite il canale di comando e controllo. Eseguire forensics di memoria per recuperare il shellcode BurrowShell e determinare l’estensione del compromesso. Reimpostare le credenziali per tutti gli account che potrebbero essere stati esposti tramite il keylogger o l’intercettazione di OAuth, con particolare attenzione agli account Google.

graph TB %% Definizione delle classi classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef evasion fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#9b59b6,stroke:#333,stroke-width:2px classDef discovery fill:#f1c40f,stroke:#333,stroke-width:2px classDef collection fill:#1abc9c,stroke:#333,stroke-width:2px classDef command_control fill:#34495e,stroke:#333,stroke-width:2px classDef exfiltration fill:#d35400,stroke:#333,stroke-width:2px %% Nodi di accesso iniziale ia_spearphish_attach[“<b>Azione</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/>Fogli di calcolo Microsoft Excel dannosi<br/>contenenti macro VBA.”] class ia_spearphish_attach initial_access ia_spearphish_link[“<b>Azione</b> – <b>T1566.002 Phishing: Spearphishing Link</b><br/>Portali webmail ingannevoli o<br/>documenti PDF esca alterati.”] class ia_spearphish_link initial_access %% Nodi di esecuzione ex_vba_interpreter[“<b>Azione</b> – <b>T1059.005 Command and Scripting Interpreter: Visual Basic</b><br/>Le macro eseguono download e avviano<br/>file dannosi come audiodg.exe e sppc.dll.”] class ex_vba_interpreter execution %% Nodi di persistenza pe_registry_run[“<b>Azione</b> – <b>T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder</b><br/>Viene creata una voce di registro<br/>camuffata come OneDrive.”] class pe_registry_run persistence %% Nodi di evasione della difesa ev_api_hashing[“<b>Azione</b> – <b>T1027.007 Obfuscated Files or Information: Dynamic API Resolution</b><br/>La backdoor BurrowShell risolve<br/>le API Windows tramite hashing.”] class ev_api_hashing evasion ev_rc4_encryption[“<b>Azione</b> – <b>T1027.013 Obfuscated Files or Information: Encrypted/Encoded File</b><br/>Lo shellcode viene nascosto come<br/>blob cifrato RC4.”] class ev_rc4_encryption evasion ev_masquerading[“<b>Azione</b> – <b>T1036.005 Masquerading: Match Legitimate Name or Location</b><br/>I file vengono rinominati come<br/>system32.dll o mscorsvc.dll.”] class ev_masquerading evasion ev_dll_hijack[“<b>Azione</b> – <b>T1574.001 Hijack Execution Flow: DLL Search Order Hijacking</b><br/>Dirottamento del flusso di esecuzione tramite<br/>binari legittimi come NGenTask.exe.”] class ev_dll_hijack evasion %% Nodi di accesso alle credenziali ca_keylogger[“<b>Azione</b> – <b>T1056 Input Capture: Keylogging</b><br/>Keylogger basato su Rust cattura<br/>pressioni dei tasti e token OAuth Google.”] class ca_keylogger credential_access %% Nodi di discovery di_sys_info[“<b>Azione</b> – <b>T1082 System Information Discovery</b><br/>BurrowShell raccoglie informazioni di sistema,<br/>inclusi nome computer e nome utente.”] class di_sys_info discovery %% Nodi di raccolta co_archive_data[“<b>Azione</b> – <b>T1560 Archive Collected Data</b><br/>Driver web basati su Python analizzano<br/>e scaricano allegati e-mail.”] class co_archive_data collection %% Nodi Command and Control cc_web_protocols[“<b>Azione</b> – <b>T1071.001 Application Layer Protocol: Web Protocols</b><br/>Comunicazione HTTPS con infrastruttura C2<br/>ospitata su Cloudflare Workers.”] class cc_web_protocols command_control %% Nodi di esfiltrazione ex_c2_channel[“<b>Azione</b> – <b>T1041 Exfiltration Over C2 Channel</b><br/>Invio di dati acquisiti, file<br/>e schermate agli aggressori.”] class ex_c2_channel exfiltration %% Collegamenti del flusso di attacco ia_spearphish_attach –>|porta_a| ex_vba_interpreter ia_spearphish_link –>|porta_a| ex_vba_interpreter ex_vba_interpreter –>|stabilisce| pe_registry_run ex_vba_interpreter –>|utilizza| ev_api_hashing ex_vba_interpreter –>|utilizza| ev_rc4_encryption ex_vba_interpreter –>|utilizza| ev_masquerading ex_vba_interpreter –>|utilizza| ev_dll_hijack ex_vba_interpreter –>|distribuisce| ca_keylogger ca_keylogger –>|attiva| di_sys_info di_sys_info –>|precede| co_archive_data co_archive_data –>|comunica_tramite| cc_web_protocols cc_web_protocols –>|abilita| ex_c2_channel

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il controllo preliminare di Telemetria e Benchmark deve essere passato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrazione e Comandi dell’attacco: Un avversario cerca di mantenere la persistenza ed eseguire codice in modo stealthy. Cerca di dirottare il flusso di processo passando come argomento, una tecnica nota di SloppyLemming. Per complicare ulteriormente il rilevamento, possono anche cercare di mascherare la loro presenza nominando un secondo processo malevolo come argomento, una tecnica nota di SloppyLemming. Per complicare ulteriormente il rilevamento, possono anche cercare di mascherare la loro presenza nominando un secondo processo malevolo nella stringa di comando. L’obiettivo è attivare la regola di rilevamento abbinando la specifica combinazione di nella stringa di comando. L'obiettivo è attivare la regola di rilevamento abbinando la specifica combinazione di in the command string. The goal is to trigger the detection rule by matching the specific combination of flusso di processo passando e il nome DLL o mascherato sospetto.

  • Script di Test di Regressione:

    # Script di Simulazione: Emulazione TTP di SloppyLemming
# Scenario 1: Dirottamento di audiodg.exe con mscorsvc.dll
Write-Host "[+] Simulazione di dirottamento di audiodg.exe con mscorsvc.dll..."
Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden

# Scenario 2: Mascheramento tramite OneDrive.exe nella linea di comando
Write-Host "[+] Simulazione di esecuzione di audiodg.exe con mascheramento OneDrive.exe..."
Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden

  • Comandi di Pulizia:

    # Pulizia: Non vengono creati artefatti permanenti dai comandi cmd /c,
# ma ci assicuriamo che non esistano processi sospetti in sospeso.
Stop-Process -Name "cmd" -ErrorAction SilentlyContinue

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis