SOC Prime Bias: Critico

20 Jan 2026 17:27 UTC

Operazione Poseidone: Attacchi di Spear-Phishing che Sfruttano i Meccanismi di Reindirizzamento di Google Ads

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Operazione Poseidone: Attacchi di Spear-Phishing che Sfruttano i Meccanismi di Reindirizzamento di Google Ads
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

L’Operazione Poseidon è una campagna di spear-phishing attribuita al gruppo Konni APT che sfrutta gli URL di tracciamento/ridirizzamento degli annunci di Google e Naver per distribuire file di collegamento LNK dannosi. Una volta aperto, il LNK attiva un caricatore AutoIt che esegue prevalentemente in memoria EndRAT. L’operazione si basa su siti WordPress compromessi per l’hosting dei payload e servizi di comando e controllo (C2).

Indagine

Il Centro di Sicurezza Genians ha esaminato le esche delle email di phishing, i beacon di tracciamento incorporati e il flusso di esecuzione end-to-end—dal lancio del collegamento LNK alla logica di staging AutoIt e il deploy di EndRAT in memoria. Gli analisti hanno anche notato il riutilizzo di infrastrutture e artefatti di sviluppo, incluso il dominio jlrandsons.co.uk e il percorso di build D:3_Attack WeaponAutoitBuild__Poseidon – Attackclient3.3.14.a3x.

Mitigazione

Prevenire l’esecuzione di file LNK consegnati all’interno di archivi ZIP, e controllare le catene di ridirizzamento dei clic sugli annunci che originano da domini di tracciamento di Google/Naver. Applicare una copertura EDR rigorosa per l’attività di AutoIt e la creazione di processi sospetti (notabilmente lanci anormali di PowerShell o cmd.exe). Ridurre l’abuso delle infrastrutture rafforzando e applicando patch regolarmente alle istanze WordPress per limitarne l’uso come punti di distribuzione di malware.

Risposta

Allertare sugli eventi di esecuzione iniziale dei file LNK, segnalare le esecuzioni di AutoIt.exe avviate da interazioni utente, e monitorare le connessioni in uscita verso i domini e gli IP di C2 identificati. Mettere in quarantena gli endpoint sospetti e raccogliere artefatti forensi, compreso il script AutoIt, i metadati LNK, e tutti i componenti EndRAT recuperati, per supportare la delimitazione e l’eliminazione.

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.

Motivazione: Questa sezione illustra l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente le TTP identificate e puntare a generare esattamente la telemetria attesa dalla logica di rilevamento.

  • Narrativa dell’Attacco & Comandi:

    Un attaccante crea un collegamento dannoso (malicious.lnk) che punta a powershell.exe con un comando codificato per scaricare ed eseguire un payload. Il collegamento viene consegnato via email di spear-phishing. Al doppio clic, Windows Explorer risolve il .lnk, generando powershell.exe come figlio del processo LNK. Questa precisa relazione genitore-figlio soddisfa la condizione della regola Sigma execution_after_LNK condizione.

  • Script di Test di Regressione:

    # -------------------------------------------------------------
    # Creare un LNK dannoso che avvia PowerShell con un comando codificato
    # -------------------------------------------------------------
    $WshShell = New-Object -ComObject WScript.Shell
    
    # Percorso dove sarà creato il LNK (Desktop)
    $lnkPath = "$Env:UserProfileDesktopmalicious.lnk"
    
    # Eseguibile di destinazione
    $target = "$Env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe"
    
    # Esempio di comando codificato (crea un file di testo come indicatore innocuo)
    $plainCmd = "New-Item -Path $Env:Tempposeidon_test.txt -ItemType File -Force"
    $bytes = [System.Text.Encoding]::Unicode.GetBytes($plainCmd)
    $encoded = [Convert]::ToBase64String($bytes)
    
    $arguments = "-EncodedCommand $encoded"
    
    $shortcut = $WshShell.CreateShortcut($lnkPath)
    $shortcut.TargetPath = $target
    $shortcut.Arguments = $arguments
    $shortcut.Save()
    
    Write-Host "LNK creato in $lnkPath"
    
    # -------------------------------------------------------------
    # Eseguire il LNK per attivare la regola di rilevamento
    # -------------------------------------------------------------
    Start-Process -FilePath $lnkPath
    
    # -------------------------------------------------------------
    # Opzionale: pausa per consentire l'ingestione da parte di SIEM
    # -------------------------------------------------------------
    Start-Sleep -Seconds 10
    
    # -------------------------------------------------------------
    # Pulizia (rimuovere il file indicatore, il LNK e l'indicatore)
    # -------------------------------------------------------------
    Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue
    Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue
    
    Write-Host "Pulizia completata."
  • Comandi di Pulizia: (se lo script sopra non è usato)

    # Rimuovere tutti i file indicatori creati durante il test
    Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue
    
    # Eliminare il collegamento dannoso
    $lnkPath = "$Env:UserProfileDesktopmalicious.lnk"
    Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue
    
    Write-Host "Artefatti del test rimossi."