SOC Prime Bias: Alta

24 Jun 2026 06:30 UTC
newspaper icon Seqrite Labs

Archivi RAR Armati Usati per Prendere di Mira il Settore Sanitario della Thailandia

Author Photo
SOC Prime Team linkedin icon Segui
Archivi RAR Armati Usati per Prendere di Mira il Settore Sanitario della Thailandia
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sommario

Una campagna mirata di malware sta colpendo attivamente il settore sanitario della Thailandia attraverso archivi RAR armati. Questi archivi contengono script batch offuscati che innescano una catena di infezione multistadio e, infine, eseguono uno stealer di informazioni basato su Python. Il malware è progettato per catturare le credenziali dei browser e i cookie di sessione, quindi esfiltrare i dati rubati tramite Telegram.

Indagine

Seqrite Lab ha identificato una finestra di campagna attiva della durata di dieci settimane da aprile a giugno 2026. La loro indagine ha scoperto una catena di esecuzione complessa che coinvolge loader offuscati tramite Rouki, payload ospitati su GitHub e la persistenza stabilita tramite la cartella Startup di Windows. Gli analisti hanno anche osservato tentativi di rubare informazioni dai browser basati su Chromium e di inviarle tramite l’API Bot di Telegram.

Mitigazione

Le organizzazioni dovrebbero applicare controlli rigorosi sull’esecuzione di script e binari non attendibili ottenuti da fonti esterne. È essenziale il monitoraggio attento delle modifiche non autorizzate alla cartella Startup di Windows. I team di sicurezza dovrebbero anche limitare l’accesso a servizi di hosting file e messaggistica come GitHub e Telegram quando utilizzati da processi non approvati.

Risposta

Se viene rilevata un’infezione, i soccorritori dovrebbero isolare immediatamente gli endpoint compromessi per interrompere ulteriori furti di dati. L’analisi forense dovrebbe concentrarsi sulle directory %TEMP% and AppData per identificare payload secondari e artefatti correlati. La cronologia del browser e i depositi di credenziali dovrebbero essere controllati per segni di compromissione, e un processo di reimpostazione della password dovrebbe essere avviato per tutti gli utenti potenzialmente coinvolti.

"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef persistence fill:#ccffcc classDef exfiltration fill:#ffccff %% Node Definitions action_phishing["<b>Azione</b> – <b>T1566.001 Phishing: Allegato Spearphishing</b><br/>Descrizione: Email a tema sanitario contenenti<br/>archivi RAR malevoli come Health_Ministry_Approved_Equipment_2026.rar"] class action_phishing action action_user_exec["<b>Azione</b> – <b>T1204.002 Esecuzione Utente: File Malevolo</b><br/>Descrizione: La vittima apre l’archivio e esegue<br/>lo script batch malevolo incorporato"] class action_user_exec action tool_powershell["<b/>Strumento – <b/>Nome: PowerShell<br/><b>Tecnica</b> – T1059.001 Interprete di Comandi e Scripting: PowerShell<br/>Descrizione: Usato per decodificare il contenuto incorporato e<br/>iniziare il download delle fasi successive"] class tool_powershell tool action_ingress["<b/>Azione – <b/>T1105 Trasferimento Strumenti Ingress</b><br/>Descrizione: Utilizzando PowerShell e curl per scaricare<br/>payload secondari da repository ospitati su GitHub"] class action_ingress action malware_persistence["<b/>Azione – <b/>T1547.001 Esecuzione al Boot o Login Autostart: Chiavi di Run del Registro / Cartella Startup</b><br/>Descrizione: Il file batch malevolo WindowSecuryt.bat è<br/>posizionato nella directory Startup di Windows per la persistenza"] class malware_persistence persistence action_elevation["<b/>Azione – <b>T1548 Abuso del Meccanismo di Controllo dell’Elevazione</b><br/>Descrizione: Il payload batch secondario u-t2.bat tenta<br/>di rilanciarsi con privilegi elevati"] class action_elevation action malware_stealer["<b/>Malware – <b/>Nome: sim.py<br/>Descrizione: Stealer di informazioni basato su Python<br/>progettato per raccogliere dati sensibili"] class malware_stealer malware action_credentials["<b/>Azione – <b>T1555.003 Credenziali dai Browser Web</b><br/>Descrizione: Termina i processi dei browser per raccogliere<br/>credenziali, cookie, e artefatti di sessione"] class action_credentials action action_archive["<b/>Azione – <b>T1560 Archivio dei Dati Raccolti</b><br/>Descrizione: I dati rubati vengono compressi in archivi ZIP<br/>per una raccolta efficiente"] class action_archive action action_exfiltration["<b/>Azione – <b>T1567 Esfiltrazione Tramite Servizio Web</b><br/>Descrizione: Trasmette i dati raccolti ai canali Telegram sotto controllo<br/>dell’attaccante tramite l’API Bot di Telegram"] class action_exfiltration exfiltration %% Connetctgions Section %% L’attacco inizia con il phishing action_phishing –>|conduce a| action_user_exec %% L’esecuzione utente attiva l’interprete action_user_exec –>|attiva| tool_powershell %% PowerShell esegue l’ingresso tool_powershell –>|esegue| action_ingress %% L’ingresso porta al meccanismo di persistenza action_ingress –>|scarica| malware_persistence %% La persistenza porta a tentativi di elevazione malware_persistence –>|inizia| action_elevation %% L’elevazione porta al dispiego dello stealer action_elevation –>|deploey| malware_stealer %% Lo stealer esegue la raccolta delle credenziali malware_stealer –>|esegue| action_credentials %% La raccolta porta all’archiviazione action_credentials –>|risulta in| action_archive %% L’archiviazione porta all’esfiltrazione finale action_archive –>|facilita| action_exfiltration "

Flusso d’Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere passato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrativa dell’Attacco & Comandi: L’avversario è riuscito a ottenere l’accesso iniziale e ha rilasciato uno stealer di informazioni basato su Python chiamato sim.py in C:UsersPublicDesktopsLib. L’obiettivo è raccogliere credenziali da Chrome e Edge. Per prevenire blocchi del database sul profilo dell’utente, l’attaccante esegue lo script Python e immediatamente avvia taskkill comandi per terminare i processi del browser. Questa sequenza è progettata per imitare il comportamento automatizzato del malware.

  • Script di Test di Regressione:

    # 1. Configura l'ambiente (Simula l'impronta dell'attaccante)
$targetDir = "C:UsersPublicDesktopsLib"
if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force }
$scriptPath = "$targetDirsim.py"
"print('Rubando dati...')" | Out-File -FilePath $scriptPath -Encoding utf8

# 2. Esegui lo script Python "Malizioso" (Trigger Selezione 1)
Write-Host "Esecuzione script Python..."
Start-Process "python.exe" -ArgumentList "`"$scriptPath`"" -Wait

# 3. Esegui comandi Taskkill (Trigger Selezione 2)
Write-Host "Esecuzione comandi taskkill..."
$browsers = @("chrome.exe", "edge.exe", "brave.exe", "chromium.exe")
foreach ($browser in $browsers) {
    Start-Process "taskkill.exe" -ArgumentList "/IM", $browser, "/F" -ErrorAction SilentlyContinue
}

  • Comandi di Pulizia:

    # Rimuovi i file di malware simulato e la directory
Remove-Item -Path "C:UsersPublicDesktopsLib" -Recurse -Force

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis