Tecniche di Attacco Avanzate di Kimsuky: JSONPing, Spoofing Webex e una Nuova Variante di HttpSpy

Riepilogo

Kimsuky ha usato pagine di social engineering che imitano software di sicurezza e riunioni Webex per distribuire un RAT HttpSpy a più fasi. La campagna ha introdotto un controllo di infezione basato su JSONP chiamato JSONPing e ha suddiviso il payload in installatore, caricatore e modulo principale. Gli indicatori includono chiavi RC4 condivise, certificati XAMPP e sovrapposizione di infrastrutture con campagne precedenti.

Indagine

Il team ha analizzato pagine di installazione false, catturato binari dropper, estratto chiavi RC4 e ricostruito la catena di esecuzione a tre fasi da nos-setup.exe/astx-setup.exe attraverso MemLoader.dll, engine.dat e cacheMon.dat fino al modulo HttpSpy finale. Il traffico di rete ha mostrato richieste GET a porte locali e URL C2.

Mitigazione

Le organizzazioni dovrebbero bloccare domini e IP sospetti, disabilitare l’esecuzione di file script da fonti sconosciute, monitorare la creazione di regsvr32 e task pianificati e applicare la verifica del codice firmato. Validare i link delle riunioni Webex prima di cliccare e utilizzare l’ispezione TLS per rilevare il traffico JSONPing.

Risposta

Rilevare la presenza dei binari identificati, chiavi Run del registro, task pianificati e indicatori di rete. Mettere in quarantena gli host interessati, revocare i certificati di firma del codice compromessi ed eseguire un’analisi forense per payload e meccanismi di persistenza.

Riepilogo Esecutivo

• ID Caso di Test: TC-20260529-A7Z3Q
• TTP:
  • T1005 (Dati dal Sistema Locale)
  • T1010 (Scoperta Finestra Applicazione)
  • T1012 (Registro di Query)
  • T1027.009 (File o Informazioni Offuscati: Payload Incorporati)
  • T1027.010 (File o Informazioni Offuscati: Padding Binario)
  • T1027.013 (File o Informazioni Offuscati: Rimozione Indicatori da Strumenti)
  • T1036.004 (Mascheramento: Mascheramento Task o Servizio)
  • T1041 (Esfiltrazione su Canale di Comando e Controllo)
  • T1053.005 (Task/Job Pianificati: Task Pianificato)
  • T1055.001 (Iniezione di Processo: Iniezione di Libreria a Collegamento Dinamico)
  • T1057 (Scoperta di Processo)
  • T1059.003 (Interprete Comandi e Scripting: Shell di Comando di Windows)
  • T1059.007 (Interprete Comandi e Scripting: JavaScript)
  • T1070.004 (Rimozione Indicatori su Host: Cancellazione File)
  • T1070.006 (Rimozione Indicatori su Host: Eliminazione Chiavi di Registro)
  • T1070.009 (Rimozione Indicatori su Host: Cancellazione Registri Eventi di Windows)
  • T1071.001 (Protocollo Strato Applicativo: Protocolli Web)
  • T1082 (Scoperta Informazioni di Sistema)
  • T1083 (Scoperta File e Directory)
  • T1090 (Proxy)
  • T1113 (Cattura Schermata)
  • T1132.001 (Codifica Dati: Codifica Standard)
  • T1134.002 (Manipolazione Token di Accesso: Creare e Impersonare Token)
  • T1140 (Deoffuscare/Decodificare File o Informazioni)
  • T1204.002 (Esecuzione Utente: File Maligno)
  • T1497.001 (Evasione Virtualizzazione/Sandbox: Controlli del Sistema)
  • T1547.001 (Esecuzione Automatizzata al Boot o Logon: Chiavi di Esecuzione Registro / Cartella di Avvio)
  • T1566 (Phishing)
  • T1573.001 (Canale Cifrato: Cifratura Simmetrica)
  • T1620 (Caricamento di Codice Riflessivo)
• Sommario della Logica della Regola di Rilevamento: Rileva un comando PowerShell che avvia regsvr32.exe con una finestra nascosta per caricare una DLL da C:ProgramData directory.
• Linguaggio/Formato della Regola di Rilevamento: Sigma (YAML)
• Ambiente di Sicurezza Target:
  • OS: Windows 10 / Windows Server 2019 (eventi di creazione processo)
  • Logging: Windows Sysmon (ID Evento 1) e Registro Eventi di Sicurezza di Windows (ID Evento 4688)
  • Stack di Sicurezza: SIEM che elabora regole Sigma (es. Azure Sentinel, Splunk, Elastic) con copertura EDR (Microsoft Defender for Endpoint)
• Punteggio di Resilienza (1-5): 3
• Giustificazione: La regola accoppia strettamente regsvr32.exe l’esecuzione con un modello di avvio PowerShell specifico, che è efficace contro la tecnica esatta descritta. Tuttavia, gli avversari possono eludere utilizzando (1) meccanismi di caricamento alternativi (ad es. rundll32, PowerShell -EncodedCommand), (2) rinominare regsvr32.exe, o (3) eseguendo la DLL tramite caricamento riflessivo senza invocare regsvr32. Quindi, resilienza moderata.
• Principali Risultati: La regola viene attivata in modo affidabile quando il comando PowerShell-regsvr32 esatto viene eseguito; l’uso benigno di regsvr32.exe senza il wrapper di PowerShell non attiva l’allerta.
• Raccomandazione: Aumentare la regola con modelli aggiuntivi (ad es. rilevamento di regsvr32.exe invitato direttamente, monitoraggio dei carichi di DLL da percorsi atipici e rilevamento di comandi PowerShell codificati) per aumentare la resilienza a 4-5.

Ambiente di Simulazione & Contesto

• TTP in Esame:

  • T1055.001: Iniezione di Processo – Iniezione di Libreria a Collegamento Dinamico (DLL Malevole caricata via regsvr32.exe)
  • T1059.003: Interprete Comandi e Scripting – Shell di Comando di Windows (PowerShell usato per nascondere l’esecuzione)
  • T1027.009 / T1027.010 / T1027.013: File o Informazioni Offuscati (offuscamento nome DLL, finestra nascosta)

• Contesto e Rilevanza TTP:

  • T1055.001: L’attaccante sfrutta regsvr32.exe per caricare una DLL malevola (mTSTCv8.mdxm) in un processo attendibile, superando la lista bianca delle applicazioni.
  • T1059.003: PowerShell avvia il comando regsvr32 con -windowstyle hidden per eludere la consapevolezza dell’utente e il monitoraggio dell’interfaccia utente dell’endpoint.
  • TTP di Offuscamento: L’uso di un’estensione DLL non standard (.mdxm) e la finestra nascosta sono tecniche classiche di evasione che la regola tenta di evidenziare.

• Ambiente Target:

  • OS: Windows 10 Enterprise (build 1909)
  • Logging: Sysmon configurato con set di regole predefinito (cattura ProcessCreate, ImageLoaded) più Registro Eventi di Sicurezza di Windows 4688 abilitato.
  • Stack di Sicurezza: Azure Sentinel (workspace Log Analytics) che riceve i log di Sysmon/Windows; Microsoft Defender per Endpoint per allerta basate sull’host.

Verifica Telemetria & Baseline Pre-volo

Motivazione: Prima di simulare l’attacco, dobbiamo confermare che l’host target sia configurato per generare i log necessari, che questi log siano ingeriti dal SIEM, e che la regola di rilevamento non venga attivata su attività benigna.

• 1. Istruzioni di Configurazione della Telemetria:

  • Installare Sysmon (v13 o successiva) con il seguente frammento di configurazione (salvato come sysmon-config.xml):

    <Sysmon schemaversion="4.70">
      <EventFiltering>
        <ProcessCreate onmatch="include">
          <Image condition="is">regsvr32.exe</Image>
        </ProcessCreate>
      </EventFiltering>
    </Sysmon>

    Esegui: sysmon -i -accepteula -c sysmon-config.xml

  • Verificare che l’Audit di Sicurezza di Windows sia abilitato per “Audit Creazione Processo” (Policy: Configurazione Computer → Impostazioni Windows → Impostazioni di Sicurezza → Configurazione Policy di Audit Avanzato → Policy di Audit di Sistema → Tracciamento Dettagliato → Audit Creazione Processo – impostato su Successo).

  • Assicurarsi che il collettore eventi inoltri l’ID Evento 4688 (Creazione Processo) e l’ID Evento Sysmon 1 a Azure Sentinel tramite l’agente di Log Analytics.

• 2. Ingestione & Validazione Baseline:

  • Azione (Telemetria Benigna): Eseguire una regsvr32 chiamata legittima che non coinvolga PowerShell o finestre nascoste (es. registrare una DLL Microsoft). not # Registrazione benigna di una DLL Windows (nessuna finestra nascosta) regsvr32.exe /s C:WindowsSystem32shdocvw.dll

    Query di Validazione (Ingestione):

  • In Azure Sentinel (KQL), confermare che l’evento benigno sia stato ingerito ma non abbia corrisposto alla regola. // Verifica l’ingerimento dell’esecuzione benigna di regsvr32 Event | where SourceSystem == “Security” and EventID == 4688 | where Process == “regsvr32.exe” | where CommandLine !contains “powershell.exe” | project TimeGenerated, Computer, Process, CommandLine, EventID not Il set di risultati dovrebbe includere l’evento benigno, e l’allerta della regola Sigma dovrebbe rimanere silenziosa.

    Esecuzione della Simulazione

    The result set should include the benign event, and the Sigma rule’s alert should remain silent.

Prerequisito: La verifica Telemetria & Baseline Pre-volo deve essere superata.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.

Narrativa & Comandi dell’Attacco:

• L’avversario ha ottenuto una DLL personalizzata (
  ) che contiene un caricatore riflessivo per un payload di seconda fase. Per evitare l’esecuzione interattiva, l’attaccante crea un comando PowerShell in un’unica riga che eseguemTSTCv8.mdxmcon il flag regsvr32.exe silente mentre nasconde la console PowerShell ( /s ). La DLL risiede in). La DLL risiede inper mescolarsi con i dati dell’applicazione legittima. Passaggi di esecuzione: C:ProgramData 1. Copiare la DLL malevola in

  1. 2. Avviare PowerShell (nascosto) che esegue 2. Avviare PowerShell (nascosto) che esegue.
  2. 3. Il processo PowerShell nascosto genera 3. Il processo PowerShell nascosto genera.
  3. , che carica la DLL nel proprio spazio processuale, ottenendo così l’esecuzione del codice con un binario attendibile. regsvr32.exeScript di Test di Regressione:

• # ============================== # Test di Regressione: Regsvr32 via PowerShell (DLL Malvagia) # ============================== # 1. Distribuire la DLL maligna (simulata con una DLL benigna nota per sicurezza) $dllPath = “C:ProgramDatamTSTCv8.mdxm” Copy-Item -Path “$env:SystemRootSystem32windows.storage.dll” -Destination $dllPath -Force # 2. Esegui il lancio PowerShell nascosto che la regola Sigma cerca $psCommand = “powershell.exe -WindowStyle Hidden regsvr32.exe /s `”$dllPath`”” Start-Process -FilePath “powershell.exe” -ArgumentList “-WindowStyle Hidden”, “regsvr32.exe”, “/s”, “`”$dllPath`”” -NoNewWindow # Optional: Attend 5 seconds per far apparire il processo nei log Start-Sleep -Seconds 5 # 3. Emit un evento marker alla console per la validazione del test Write-Host “[*] Esecuzione di regsvr32 avviata tramite PowerShell nascosto.”

  Comandi di Pulizia:

• # Rimuovi la DLL malevola simulata Remove-Item -Path “C:ProgramDatamTSTCv8.mdxm” -Force -ErrorAction SilentlyContinue # Chiudi eventuali processi regsvr32.exe rimasti (se presenti) Get-Process -Name regsvr32 -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host “[*] Pulizia completata.”

  Flusso Attacco