Operazione DragonReturn: Spionaggio a Connessione Cinese che Colpisce l’Infrastruttura Fiscale dell’India
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Una sofisticata campagna di cyber spionaggio allineata alla Cina sta prendendo di mira l’ecosistema fiscale indiano impersonando il Ministero delle Finanze. L’operazione utilizza email di spearphishing con allegati dannosi per consegnare una catena di infezione DcRAT a più fasi. Il malware si basa sulla steganografia, elusione di AMSI e esecuzione .NET senza file per persistere sui sistemi compromessi ed esfiltrare informazioni sensibili.
Indagine
Seqrite Lab ha scoperto la campagna attraverso l’analisi di una catena di infezione a più fasi costruita attorno a un’utility governativa falsa. L’indagine ha mostrato l’uso di un launcher leggero che chiama una DLL, che quindi inietta codice in svchost.exe. Gli analisti hanno anche identificato un payload steganografico nascosto all’interno di un’immagine JPG e osservato traffico di comando e controllo crittografato su TLS.
Mitigazione
Le organizzazioni dovrebbero implementare un robusto filtraggio delle email per bloccare allegati e link sospetti inviati da domini governativi impersonati. I team di sicurezza dovrebbero monitorare la creazione non autorizzata di servizi Windows, specialmente servizi mascherati da componenti legittimi come Windows Mixed Reality. Applicare rigorose politiche UAC e prestare attenzione all’esecuzione .NET sospetta in memoria può anche aiutare a ridurre l’impatto della compromissione.
Risposta
Se questa attività viene rilevata, gli endpoint interessati dovrebbero essere isolati immediatamente per prevenire ulteriori comunicazioni di comando e controllo e furti di dati. Gli investigatori dovrebbero eseguire analisi forense della memoria per identificare il codice iniettato all’interno di svchost.exe e controllare per servizi non autorizzati come MixedSvc. I log di rete dovrebbero essere esaminati per connessioni ai domini e indirizzi IP identificati, mentre la risposta all’incidente dovrebbe concentrarsi sulla rotazione delle credenziali e sulla verifica dell’integrità del sistema.
Flusso di Attacco
Rilevamenti
Creazione di Servizi Sospetti per la Persistenza (tramite sistema)
Visualizza
Rilevamento Comunicazione C2 di Operation DragonReturn [Connessione di Rete Windows]
Visualizza
Rileva Injection di Processi Coinvolgente VirtualAlloc e CreateToolhelp32Snapshot [Windows Sysmon]
Visualizza
Rilevata Persistenza Dannosa tramite Mixed Reality Service [Creazione di Processi Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo Telemetria e Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa devono riflettere direttamente le TTP identificate e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non pertinenti porteranno a diagnosi errate.
-
Narrativa e Comandi dell’Attacco: Un avversario ha distribuito con successo un dropper di seconda fase. Per stabilire la persistenza e ricevere ulteriori istruzioni, il malware tenta di contattare la sua infrastruttura C2 hardcoded. L’obiettivo dell’attaccante è di bypassare proxy web standard usando una porta non standard (2671). La simulazione utilizzerà PowerShell per imitare questo comportamento tentando una connessione TCP al dominio specifico
kkxqbh.topsulla porta2671, generando così latelemetriaanddominiorichiesta dalla regola di rilevamento. -
Script di Test di Regressione:
# Simulazione della comunicazione C2 di DragonReturn $C2Domain = "kkxqbh.top" $C2Port = 2671 Write-Host "[+] Tentativo di simulare la connessione C2 a $C2Domain sulla porta $C2Port..." try { # Usando un TCP Client per iniziare una connessione agli IoC specifici $tcpClient = New-Object System.Net.Sockets.TcpClient $connection = $tcpClient.BeginConnect($C2Domain, $C2Port, $null, $null) # Attendere per un breve periodo per permettere la generazione della telemetria $success = $connection.AsyncWaitHandle.WaitOne(5000, $false) if ($success) { Write-Host "[!] Connessione stabilita (Simulazione C2 Successo)." } else { Write-Host "[?] Connessione fallita (previsto se il dominio è inattivo), ma la telemetria dovrebbe essere stata generata." } $tcpClient.Close() } catch { Write-Host "[!] Errore durante la simulazione: $_" } -
Comandi di Ripristino:
# Nessuna modifica permanente effettuata; non è richiesto ripristino per questa simulazione solo di rete. Write-Host "[+] Simulazione completa. Nessuna modifica al sistema è stata effettuata."