SOC Prime Bias: Alto

01 Jul 2026 09:16 UTC

All’interno del Tradecraft CHM di Kimsuky: Esecuzione a Multipli Stadi e Consegna Selettiva di Payload

Author Photo
SOC Prime Team linkedin icon Segui
All’interno del Tradecraft CHM di Kimsuky: Esecuzione a Multipli Stadi e Consegna Selettiva di Payload
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

Kimsuky utilizza Compiled HTML (.chm) dannosi come esche iniziali per attivare una catena di infezioni a più stadi. L’operazione sfrutta utilità native di Windows come PowerShell, certutil, e wscript per profilare il sistema, stabilire la persistenza tramite attività pianificate, ed esfiltrare i dati raccolti. L’attore applica anche la consegna selettiva del payload, fornendo la componente operativa finale solo dopo che certe condizioni ambientali o comportamentali sono soddisfatte.

Indagine

Il ricercatore ha analizzato un campione sospetto di CHM e ne ha ricostruito la catena di esecuzione, composta da più stadi di VBScript e PowerShell. Ripetendo le richieste di rete e testando da diverse posizioni proxy, il ricercatore ha scoperto un modello di risposta selettivo in cui il payload finale non veniva consegnato all’ambiente sandbox. L’indagine ha anche collegato l’infrastruttura a un’attività nota di Kimsuky attraverso somiglianze nei favicon e fingerprinting del server web.

Mitigazione

Le organizzazioni dovrebbero monitorare gli arrivi di processi sospetti, specialmente i casi in cui hh.exe or wscript.exe lancia PowerShell o cmd.exe. Restringere l’esecuzione di contenuti di script da locazioni scrivibili dagli utenti, come la cache di Internet, può aiutare a bloccare la persistenza. Monitorare cambiamenti non autorizzati alle impostazioni di registro di Internet Explorer e Microsoft Edge può anche migliorare il rilevamento di manipolazioni dell’host.

Risposta

Se questa attività viene rilevata, isolare immediatamente l’endpoint coinvolto per prevenire ulteriore traffico di comando e controllo. Eseguire la memoria forense per identificare eventuali payload PowerShell senza file caricati nella memoria del processo. Controllare le attività pianificate alla ricerca di voci sospette come Edge Updater e ispezionare la directory %USERPROFILE%Links per file .dat or .ini ingannevoli.

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere passato.

Motivo: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a errori di diagnosi.

  • Narrazione & Comandi dell’Attacco: L’avversario mira a ottenere l’esecuzione iniziale tramite un .chm file armato. Una volta che l’utente apre il file, il file di Aiuto HTML Compilato utilizza uno script incorporato per invocare hh.exe. Per eludere i rilevamenti standard, l’attore utilizza hh.exe per lanciare PowerShell, mascherando efficacemente l’esecuzione della shell sotto un processo legittimo di aiuto di Windows. L’obiettivo è stabilire un punto d’appoggio eseguendo un comando PowerShell nascosto che può scaricare un payload di secondo stadio.

  • Script di Test di Regressione:

    # Simulazione di Esecuzione CHM-a-PowerShell di Kimsuky
    # Questo script simula il comportamento di hh.exe che genera PowerShell come rilevato dalla regola.
    
    Write-Host "[+] Avvio della Simulazione CHM di Kimsuky..." -ForegroundColor Cyan
    
    # 1. Simula hh.exe che genera PowerShell (Corrisponde a selection_hh)
    Write-Host "[+] Regola di Attivazione: hh.exe che genera PowerShell..." -ForegroundColor Yellow
    Start-Process "hh.exe" -ArgumentList "powershell.exe -NoProfile -ExecutionPolicy Bypass -Command Write-Output 'Successo Simulazione'"
    
    # 2. Simula wscript.exe che esegue VBScript (Corrisponde a selection_wscript)
    Write-Host "[+] Regola di Attivazione: wscript.exe con flag VBScript..." -ForegroundColor Yellow
    $tempVBS = "$env:TEMPtest_sim.vbs"
    "WScript.Echo ""Successo Simulazione""" | Out-File -FilePath $tempVBS -Encoding ascii
    Start-Process "wscript.exe" -ArgumentList "/e:vbscript $tempVBS"
    
    # 3. Simula cmd.exe con finestra nascosta (Corrisponde a selection_cmd)
    Write-Host "[+] Regola di Attivazione: cmd.exe con Stile Finestra Nascosta..." -ForegroundColor Yellow
    Start-Process "cmd.exe" -ArgumentList "/c PowerShell -WindowStyle Hidden -Command Write-Output 'Successo Simulazione'"
    
    Write-Host "[+] Comandi di simulazione inviati." -ForegroundColor Green
  • Comandi di Pulizia:

    # Pulizia di file temporanei creati durante la simulazione
    Remove-Item -Path "$env:TEMPtest_sim.vbs" -ErrorAction SilentlyContinue
    Write-Host "[+] Pulizia completata." -ForegroundColor Cyan