Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Handala è un gruppo hacktivista collegato all’Iran che esegue operazioni informatiche distruttive. Il gruppo utilizza catene di attacco a più fasi che combinano phishing, loader basati su AutoIT e malware wiper. Le sue campagne mirano principalmente a causare disagi e distruggere dati su obiettivi infrastrutturali israeliani, statunitensi e regionali.
Indagine
Il rapporto delinea il passaggio di Handala da attività hacktiviste tradizionali verso operazioni distruttive più avanzate. Esamina l’uso da parte del gruppo delle tecniche BYOVD per l’escalation dei privilegi e la distribuzione di payload wiper sia su ambienti Windows che Linux. L’analisi tecnica copre anche l’attività di comando e controllo tramite Telegram e i metodi di offuscamento incorporati negli script batch.
Mitigazione
Le organizzazioni dovrebbero applicare un filtro email rigoroso per bloccare allegati malevoli e download sospetti basati su ZIP. Limitando l’uso di driver vulnerabili o non autorizzati, è possibile ridurre il rischio di abuso di BYOVD, mentre monitorare l’esecuzione non autorizzata di AutoIT può aiutare a rilevare attività nelle fasi iniziali. Difese endpoint dovrebbero anche essere configurate per identificare sovrascritture rapide di file e comportamenti di formattazione del disco non autorizzata.
Risposta
Se viene rilevata un’attività correlata ad Handala, gli host coinvolti dovrebbero essere isolati immediatamente per fermare la diffusione del malware wiper. Gli investigatori dovrebbero eseguire analisi forense della memoria per identificare shellcode iniettati e esaminare i sistemi per carichi di driver non autorizzati. Anche i log email dovrebbero essere analizzati per determinare l’ambito della campagna di phishing e qualsiasi credenziale compromessa dovrebbe essere ruotata senza ritardo.
"graph TB %% Class Definitions classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef privilege_escalation fill:#fbb,stroke:#333,stroke-width:2px classDef defense_evasion fill:#bfb,stroke:#333,stroke-width:2px classDef discovery fill:#fff4dd,stroke:#333,stroke-width:2px classDef command_and_control fill:#d4f1f9,stroke:#333,stroke-width:2px classDef impact fill:#ffcccb,stroke:#333,stroke-width:2px %% Initial Access Stage action_phishing["<b>Azione</b> – <b idea='T1566.001'>Phishing: Allegato Spearphishing</b><br/><b>Descrizione</b>: Email ingannevoli contenenti<br/>allegati PDF malevoli o archivi ZIP.<br/><b>Esempi</b>: update.zip, F5UPDATER.EXE"] class action_phishing initial_access %% Execution Stage action_execution["<b>Azione</b> – <b idea='T1059'>Interprete di Comando e Script</b><br/><b>Descrizione</b>: Utilizzo di eseguibili NSIS e<br/>script AutoIT compilati per caricare shellcode."] class action_execution execution %% Privilege Escalation Stage action_priv_esc["<b>Azione</b> – <b idea='T1068'>Sfruttamento per Escalation dei Privilegi</b><br/><b>Descrizione</b>: Uso di meccanismi Bring Your Own Vulnerable Driver (BYOVD)<br/>per accedere alla memoria del kernel."] tool_vulnerable_driver["<b>Strumento</b> – <b idea='BYOVD'>ListOpenedFileDrv_32.sys</b><br/><b>Descrizione</b>: Un driver utilizzato per ottenere livelli più alti di controllo sul sistema."] class action_priv_esc privilege_escalation class tool_vulnerable_driver privilege_escalation %% Defense Evasion Stage action_evasion["<b>Azione</b> – <b idea='T1027.016'>File o Informazioni Offuscati: Inserimento Codice Spazzatura</b><br/><b>Descrizione</b>: Inserimento di comandi spazzatura non validi nei<br/>batch script per confondere gli analisti."] class action_evasion defense_evasion %% Discovery Stage action_discovery["<b>Azione</b> – <b idea='T1082'>Scoperta delle Informazioni di Sistema</b><br/><b>Descrizione</b>: Raccolta di nomi host, informazioni di dominio,<br/>e dettagli utente."] class action_discovery discovery %% Command and Control Stage action_cnc["<b>Azione</b> – <b idea='T1102.002'>Servizio Web: Telegram</b><br/><b>Descrizione</b>: Uso di canali Telegram con Bot e ID canali codificati&l&br/>per la comunicazione."] class action_cnc command_and_control %% Impact Stage action_impact["<b>Azione</b> – <b idea='T1561.001'>Cancellazione Disco: Cancellazione Contenuti Disco</b><br/><b>Descrizione</b>: Sovrascrittura aggressiva dei file bersaglio<br/>con blocchi randomizzati di 4096 byte o zeri."] class action_impact impact %% Connections action_phishing –>|porta a| action_execution action_execution –>|attiva| action_priv_esc action_priv_esc –>|utilizza| tool_vulnerable_driver action_execution –>|impiega| action_evasion action_execution –>|compie| action_discovery action_discovery –>|stabilisce| action_cnc action_cnc –>|facilita| action_impact "
Flusso di Attacco
Rilevamenti
Download o Upload tramite Powershell (via cmdline)
Visualizza
Possibile Uso di PING per Eseguire con Ritardo (via cmdline)
Visualizza
Caricamento / Download Remoto di File tramite Strumenti Standard (via cmdline)
Visualizza
Rileva Esecuzione Comando Malevolo Eseguibile NSIS [Creazione Processo Windows]
Visualizza
Rilevamento della Distruzione della Partizione Linux da Wiper Handala [Creazione Processo Linux]
Visualizza
Distruzione File Malware Wiper Handala [Evento File Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.
Razionale: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO rispecchiare direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non pertinenti porteranno a diagnosi errate.
-
Narrativa e Comandi di Attacco: L’attaccante ha consegnato con successo un installer NSIS malevolo tramite un allegato spearphishing. All’esecuzione, il motore NSIS viene utilizzato per eseguire una shell di comando nascosta. L’obiettivo è rilasciare uno script secondario (
Carroll.cmd) nella directory di lavoro ed eseguirlo immediatamente senza interazione dell’utente. Per rimanere sotto il radar, l’attaccante utilizzaSW_HIDEper prevenire che una finestra di prompt dei comandi si apra sul desktop dell’utente. Questa tecnica utilizza software installer legittimo per eseguire comandi arbitrari. -
Script di Test di Regressione:
# Script di Simulazione: Simulazione dell'esecuzione della riga di comando NSIS # Nota: Poiché stiamo simulando la 'riga di comando' catturata dalla regola, # attiveremo una creazione di processo che imiti la stringa specifica rilevata. $MaliciousCommand = 'ExecShell open cmd "/k copy Carroll Carroll.cmd & Carroll.cmd & exit" SW_HIDE' # Per simulare accuratamente la creazione del processo NSIS, chiamiamo cmd.exe # con la stringa come argomento per assicurarci che appaia nella telemetria della riga di comando. Start-Process "cmd.exe" -ArgumentList "/c echo $MaliciousCommand" Write-Host "Comando di simulazione eseguito. Controlla SIEM per: $MaliciousCommand" -
Comandi di Pulizia:
# Rimuovi qualsiasi file creato durante la simulazione Remove-Item -Path "$env:TEMPCarroll.cmd" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPCarroll" -ErrorAction SilentlyContinue