SOC Prime Bias: Critico

16 Jun 2026 05:47 UTC

Analisi di SHEET#CREEP: Il Malware Ritorna con Nuova Offuscazione della Configurazione

Author Photo
SOC Prime Team linkedin icon Segui
Analisi di SHEET#CREEP: Il Malware Ritorna con Nuova Offuscazione della Configurazione
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Un’operazione di spionaggio attiva conosciuta come SHEETCREEP si avvale di un trojan di accesso remoto in C# che utilizza l’API di Google Sheets per comandi e controllo. Gli attaccanti consegnano il malware attraverso un’esca di phishing a tema diplomatico ISO, dopo di che il RAT stabilisce la persistenza ed esegue comandi tramite uno spazio di esecuzione in-process PowerShell. Campioni recenti mostrano che gli operatori hanno rafforzato il malware introducendo un’offuscamento basato su XOR per i dati di configurazione.

Indagine

Il team di ricerca delle minacce di Securonix ha scoperto la campagna estraendo le credenziali del servizio Google Cloud integrate dal binario RAT. Dopo aver autenticato il foglio di comando e controllo live, i ricercatori hanno identificato 91 schede di vittime attive, comprese sandbox, ambienti di ricerca e una vittima ad alta sicurezza situata in Pakistan. La loro analisi ha anche mostrato che la protezione della configurazione del malware si è evoluta attraverso un approccio di offuscamento aggiornato.

Mitigazione

Le organizzazioni dovrebbero evitare di aprire allegati non richiesti, soprattutto file ISO che contengono file di collegamento LNK. I difensori dovrebbero monitorare la %LOCALAPPDATA%MicrosoftVault directory alla ricerca di eseguibili sospetti e esaminare le attività programmate per voci fuorvianti o inattese. Una forte visibilità degli endpoint tramite strumenti come Sysmon e AMSI può anche aiutare a rilevare l’attività in-process di PowerShell legata a questo malware.

Risposta

Se si osserva traffico HTTPS insolito verso i servizi API di Google da processi non del browser, il sistema interessato dovrebbe essere isolato immediatamente. Le squadre di sicurezza dovrebbero ispezionare le attività programmate per elementi non autorizzati come WindowsVaultSyncService. Dovrebbe anche essere eseguita una revisione forense di %LOCALAPPDATA%MicrosoftVault per identificare binari nascosti o attribuiti al sistema associati all’intrusione.

Flusso di attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo del Telemetria e Baseline deve essere passato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrativa dell’Attacco e Comandi: L’avversario mira a stabilire la persistenza ed eseguire un trojan di accesso remoto (RAT) utilizzando la tecnica SHEETCREEP. Per prima cosa, simulano l’esecuzione iniziale tramite un file LNK dannoso che chiama cmd.exe per avviare uno specifico eseguibile sospetto. Successivamente, stabiliscono la persistenza creando un’attività pianificata chiamata WindowsVaultSyncService con una descrizione ingannevole per confondersi con gli aggiornamenti di sistema. Infine, distribuiscono il payload vaultsvc.exe nella C:Utenti<Utente>AppDataLocalMicrosoftVault directory ed eseguirlo per attivare la parte finale della logica di rilevamento.

  • Script di Test per la Regressione:

    # Script di Simulazione SHEETCREEP
    # Nota: Questo script deve essere eseguito con privilegi amministrativi per creare attività pianificate.
    
    $targetDir = "$env:LOCALAPPDATAMicrosoftVault"
    $payloadName = "vaultsvc.exe"
    $payloadPath = "$targetDir$payloadName"
    $taskName = "WindowsVaultSyncService"
    $taskDesc = "Windows Edge Core Update Task Machine Discord Update"
    
    Write-Host "[+] Avvio Simulazione SHEETCREEP..." -ForegroundColor Cyan
    
    # 1. Simulare Selezione 1: Esecuzione CMD con stringa specifica
    Write-Host "[+] Simulazione Selezione 1: modello comando CMD..." -ForegroundColor Yellow
    Start-Process cmd.exe -ArgumentList '/c start "" "Document_11052026-03578240540350-93.exe"' -WindowStyle Hidden
    
    # 2. Simulare Selezione 2: Creazione Attività Pianificata
    Write-Host "[+] Simulazione Selezione 2: creazione attività pianificata..." -ForegroundColor Yellow
    $action = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c echo Persistence Established"
    $trigger = New-ScheduledTaskTrigger -AtLogOn
    Register-ScheduledTask -Action $action -Trigger $trigger -TaskName $taskName -Description $taskDesc -Force
    
    # 3. Simulare Selezione 3: Posizionamento del payload ed esecuzione
    Write-Host "[+] Simulazione Selezione 3: distribuzione ed esecuzione del payload..." -ForegroundColor Yellow
    if (!(Test-Path $targetDir)) {
        New-Item -Path $targetDir -ItemType Directory -Force | Out-Null
    }
    
    # Creare un file binario fittizio per imitare il RAT
    New-Item -Path $payloadPath -ItemType File -Force | Out-Null
    
    # Eseguire il payload fittizio
    Start-Process -FilePath $payloadPath -WindowStyle Hidden -ErrorAction SilentlyContinue
    
    Write-Host "[+] Comandi di simulazione inviati. Verificare gli avvisi nel SIEM." -ForegroundColor Green
  • Comandi di Pulizia:

    # Pulizia Simulazione SHEETCREEP
    $targetDir = "$env:LOCALAPPDATAMicrosoftVault"
    $payloadPath = "$targetDirvaultsvc.exe"
    $taskName = "WindowsVaultSyncService"
    
    Write-Host "[+] Pulizia degli artefatti della simulazione..." -ForegroundColor Cyan
    
    # Rimuovere Attività Pianificata
    Unregister-ScheduledTask -TaskName $taskName -Confirm:$false -ErrorAction SilentlyContinue
    
    # Rimuovere Payload e Directory
    if (Test-Path $payloadPath) { Remove-Item $payloadPath -Force }
    if (Test-Path $targetDir) { Remove-Item $targetDir -Recurse -Force }
    
    Write-Host "[+] Pulizia completata." -ForegroundColor Green