SOC Prime Bias: Medio

10 Feb 2026 14:38 UTC

Inquilino dall’Inferno: Il soggiorno non autorizzato di Prometei nel tuo Server Windows

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Inquilino dall’Inferno: Il soggiorno non autorizzato di Prometei nel tuo Server Windows
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

Prometei è una botnet collegata alla Russia che compromette i server Windows, installa un servizio persistente, ruba credenziali, mina Monero e potenzia l’host per bloccare gli intrusi concorrenti. Utilizza la crittografia XOR e RC4 personalizzata, comunica tramite HTTP sulla rete libera e Tor, e recupera moduli extra attraverso un archivio 7-zip a tappe. Il malware si avvale di utilità Windows legittime per la raccolta e la persistenza.

Indagine

L’Unità di Risposta alle Minacce di eSentire ha trovato l’infezione su un server Windows nel settore delle costruzioni a gennaio 2026. Una catena di comandi malevoli ha creato un file chiave XOR, scaricato un payload Base64, lo ha decrittato con una routine XOR a rotazione e installato il servizio UPlugPlay. Valori di registro hanno memorizzato identificatori host e chiavi crittografate, mentre il traffico HTTP GET in uscita trasportava dettagli di sistema crittografati. Download a tappe hanno anche estratto ulteriori componenti utilizzati per il mining.

Mitigazione

Imporre password RDP forti e uniche, abilitare l’MFA, disabilitare servizi remoti non necessari e applicare politiche di blocco account. Utilizzare AppLocker o WDAC per impedire l’abuso di LOLBin e bloccare l’esecuzione di strumenti non attendibili. Distribuire Windows Defender o AV di nuova generazione con firme personalizzate e garantire che le regole del firewall non possano essere modificate per consentire accesso in entrata non autorizzato.

Risposta

Isolare l’host, terminare UPlugPlay, rimuovere i file associati e le chiavi di registro, e reimpostare le credenziali compromesse. Scansire altri sistemi infetti, bloccare IP/domains C2 identificati, e monitorare pattern di creazione processi ripetuti o cambiamenti sospetti delle regole del firewall.

Flusso di attacco

Rilevamenti

Download o Upload tramite Powershell (via cmdline)

Squadra di SOC Prime
10 Febbraio 2026

Esecuzione del Software di Archiviazione tramite Interprete di Comando e Script (via process_creation)

Squadra di SOC Prime
10 Febbraio 2026

Modifica Sospetta delle Esclusioni di Defender (via cmdline)

Squadra di SOC Prime
10 Febbraio 2026

Possibili Indicatori di Offuscamento di Powershell (via powershell)

Squadra di SOC Prime
10 Febbraio 2026

Chiama Metodi Sospetti .NET da Powershell (via powershell)

Squadra di SOC Prime
10 Febbraio 2026

Stringhe di Powershell Sospette (via cmdline)

Squadra di SOC Prime
10 Febbraio 2026

Possibile Enumerazione di Sistema (via cmdline)

Squadra di SOC Prime
10 Febbraio 2026

IOC (DestinationIP) da rilevare: Tenant dall’Inferno: Permanenza non autorizzata di Prometei nel tuo server Windows

Regole AI di SOC Prime
10 Febbraio 2026

IOC (HashSha256) da rilevare: Tenant dall’Inferno: Permanenza non autorizzata di Prometei nel tuo server Windows

Regole AI di SOC Prime
10 Febbraio 2026

IOC (SourceIP) da rilevare: Tenant dall’Inferno: Permanenza non autorizzata di Prometei nel tuo server Windows

Regole AI di SOC Prime
10 Febbraio 2026

Rilevamento dell’Esecuzione del Payload di Prometei ed Evasione di Windows Defender [Windows Powershell]

Regole AI di SOC Prime
10 Febbraio 2026

Rilevamento della Comunicazione C2 di Prometei su HTTP [Connessione di Rete Windows]

Regole AI di SOC Prime
10 Febbraio 2026

Raccolta delle Informazioni di Sistema di Prometei [Creazione del Processo Windows]

Regole AI di SOC Prime
10 Febbraio 2026

Esecuzione di Simulazione

Prerequisito: Il Check Pre-volo di Telemetria e Baseline deve essere passato.

Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrativa e Comandi di Attacco:
    L’avversario ha ottenuto l’esecuzione di codice remoto sull’host vittima e desidera raccogliere dettagli sull’hardware di basso livello e la versione del sistema operativo per l’inventario e la futura personalizzazione del payload. Per rimanere “sotto sorveglianza”, l’attore utilizza utilità Windows integrate che difficilmente vengono bloccate:

    1. Interrogare la versione OScmd.exe /c ver (stringa di versione classica).
    2. Raccogliere il produttore della scheda madrewmic baseboard get Manufacturer.
    3. Raccogliere il modello del computerwmic ComputerSystem get Model.

    Questi comandi vengono eseguiti in sequenza in un unico script PowerShell per imitare un modulo post-sfruttamento realistico. Ogni comando produce un evento di creazione di processo distinto che corrisponde alle condizioni della regola Sigma.

  • Script di Test di Regresso:

    # Simulazione di fingerprinting di sistema in stile Prometei
    # ------------------------------------------------
    # 1. Versione OS
    cmd.exe /c ver
    
    # 2. Produttore della scheda madre
    wmic baseboard get Manufacturer
    
    # 3. Modello del computer
    wmic ComputerSystem get Model
  • Comandi di Pulizia:

    # Rimuovere i log degli eventi generati dalla macchina di test locale (opzionale)
    wevtutil cl Microsoft-Windows-Sysmon/Operational
    wevtutil cl Security

Fine del Rapporto