Analisi di SHEET#CREEP: Il Malware Ritorna con Nuova Offuscazione della Configurazione
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un’operazione di spionaggio attiva conosciuta come SHEETCREEP si avvale di un trojan di accesso remoto in C# che utilizza l’API di Google Sheets per comandi e controllo. Gli attaccanti consegnano il malware attraverso un’esca di phishing a tema diplomatico ISO, dopo di che il RAT stabilisce la persistenza ed esegue comandi tramite uno spazio di esecuzione in-process PowerShell. Campioni recenti mostrano che gli operatori hanno rafforzato il malware introducendo un’offuscamento basato su XOR per i dati di configurazione.
Indagine
Il team di ricerca delle minacce di Securonix ha scoperto la campagna estraendo le credenziali del servizio Google Cloud integrate dal binario RAT. Dopo aver autenticato il foglio di comando e controllo live, i ricercatori hanno identificato 91 schede di vittime attive, comprese sandbox, ambienti di ricerca e una vittima ad alta sicurezza situata in Pakistan. La loro analisi ha anche mostrato che la protezione della configurazione del malware si è evoluta attraverso un approccio di offuscamento aggiornato.
Mitigazione
Le organizzazioni dovrebbero evitare di aprire allegati non richiesti, soprattutto file ISO che contengono file di collegamento LNK. I difensori dovrebbero monitorare la %LOCALAPPDATA%MicrosoftVault directory alla ricerca di eseguibili sospetti e esaminare le attività programmate per voci fuorvianti o inattese. Una forte visibilità degli endpoint tramite strumenti come Sysmon e AMSI può anche aiutare a rilevare l’attività in-process di PowerShell legata a questo malware.
Risposta
Se si osserva traffico HTTPS insolito verso i servizi API di Google da processi non del browser, il sistema interessato dovrebbe essere isolato immediatamente. Le squadre di sicurezza dovrebbero ispezionare le attività programmate per elementi non autorizzati come WindowsVaultSyncService. Dovrebbe anche essere eseguita una revisione forense di %LOCALAPPDATA%MicrosoftVault per identificare binari nascosti o attribuiti al sistema associati all’intrusione.
Flusso di attacco
Rilevazioni
Possibile Utilizzo della Scelta per il Ritardo di Esecuzione (tramite cmdline)
Visualizza
Immagine Disco Ottico VHDMP È Stato Montato (tramite VHDMP)
Visualizza
Attività Pianificata Sospetta (tramite audit)
Visualizza
Possibile Attività di Utilità di Comando e Controllo Google (tramite proxy)
Visualizza
IOC (HashSha256) da rilevare: Analizzando SHEET#CREEP: SHEETCREEP è di nuovo operativo con diversa offuscamento di configurazione
Visualizza
IOC (SourceIP) da rilevare: Analizzando SHEET#CREEP: SHEETCREEP è di nuovo operativo con diversa offuscamento di configurazione
Visualizza
IOC (DestinationIP) da rilevare: Analizzando SHEET#CREEP: SHEETCREEP è di nuovo operativo con diversa offuscamento di configurazione
Visualizza
Rilevazione della Comunicazione C2 di Sheet#CREEP tramite API di Google Sheets [Firewall]
Visualizza
Rileva Utilizzo di Mutex di SHEET#CREEP Malware [Windows Sysmon]
Visualizza
Rilevazione dei Modelli di Persistenza ed Esecuzione di SHEETCREEP [Creazione Processo Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo del Telemetria e Baseline deve essere passato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrativa dell’Attacco e Comandi: L’avversario mira a stabilire la persistenza ed eseguire un trojan di accesso remoto (RAT) utilizzando la tecnica SHEETCREEP. Per prima cosa, simulano l’esecuzione iniziale tramite un file LNK dannoso che chiama
cmd.exeper avviare uno specifico eseguibile sospetto. Successivamente, stabiliscono la persistenza creando un’attività pianificata chiamataWindowsVaultSyncServicecon una descrizione ingannevole per confondersi con gli aggiornamenti di sistema. Infine, distribuiscono il payloadvaultsvc.exenellaC:Utenti<Utente>AppDataLocalMicrosoftVaultdirectory ed eseguirlo per attivare la parte finale della logica di rilevamento. -
Script di Test per la Regressione:
# Script di Simulazione SHEETCREEP # Nota: Questo script deve essere eseguito con privilegi amministrativi per creare attività pianificate. $targetDir = "$env:LOCALAPPDATAMicrosoftVault" $payloadName = "vaultsvc.exe" $payloadPath = "$targetDir$payloadName" $taskName = "WindowsVaultSyncService" $taskDesc = "Windows Edge Core Update Task Machine Discord Update" Write-Host "[+] Avvio Simulazione SHEETCREEP..." -ForegroundColor Cyan # 1. Simulare Selezione 1: Esecuzione CMD con stringa specifica Write-Host "[+] Simulazione Selezione 1: modello comando CMD..." -ForegroundColor Yellow Start-Process cmd.exe -ArgumentList '/c start "" "Document_11052026-03578240540350-93.exe"' -WindowStyle Hidden # 2. Simulare Selezione 2: Creazione Attività Pianificata Write-Host "[+] Simulazione Selezione 2: creazione attività pianificata..." -ForegroundColor Yellow $action = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c echo Persistence Established" $trigger = New-ScheduledTaskTrigger -AtLogOn Register-ScheduledTask -Action $action -Trigger $trigger -TaskName $taskName -Description $taskDesc -Force # 3. Simulare Selezione 3: Posizionamento del payload ed esecuzione Write-Host "[+] Simulazione Selezione 3: distribuzione ed esecuzione del payload..." -ForegroundColor Yellow if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force | Out-Null } # Creare un file binario fittizio per imitare il RAT New-Item -Path $payloadPath -ItemType File -Force | Out-Null # Eseguire il payload fittizio Start-Process -FilePath $payloadPath -WindowStyle Hidden -ErrorAction SilentlyContinue Write-Host "[+] Comandi di simulazione inviati. Verificare gli avvisi nel SIEM." -ForegroundColor Green -
Comandi di Pulizia:
# Pulizia Simulazione SHEETCREEP $targetDir = "$env:LOCALAPPDATAMicrosoftVault" $payloadPath = "$targetDirvaultsvc.exe" $taskName = "WindowsVaultSyncService" Write-Host "[+] Pulizia degli artefatti della simulazione..." -ForegroundColor Cyan # Rimuovere Attività Pianificata Unregister-ScheduledTask -TaskName $taskName -Confirm:$false -ErrorAction SilentlyContinue # Rimuovere Payload e Directory if (Test-Path $payloadPath) { Remove-Item $payloadPath -Force } if (Test-Path $targetDir) { Remove-Item $targetDir -Recurse -Force } Write-Host "[+] Pulizia completata." -ForegroundColor Green