SOC Prime Bias: Alto

12 Jun 2026 06:27 UTC

AsyncRAT Distribuito Attraverso Campagne di Minaccia a Tema AI

Author Photo
SOC Prime Team linkedin icon Segui
AsyncRAT Distribuito Attraverso Campagne di Minaccia a Tema AI
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Gli attori delle minacce stanno sfruttando esche a tema AI per distribuire una catena di infezione malware a più stadi. L’attacco combina script a stadi, loader basati su AutoHotkey e process hollowing per distribuire sia un trojan di accesso remoto .NET che AsyncRAT. Un aspetto notevole della campagna è l’apparente uso dello sviluppo assistito da AI, riflesso nei nomi delle variabili in cinese semplificato e nei commenti nel codice inseriti nel malware.

Indagine

FortiGuard Labs ha esaminato una sequenza di intrusione complessa che iniziava con un archivio ZIP dannoso contenente un file LNK. La loro analisi ha scoperto diversi stadi di estrazione del payload da un contenitore basato su PDF, seguito dall’iniezione riflessiva guidata da AutoHotkey e dalla distribuzione finale di un RAT .NET modulare insieme ad AsyncRAT. I ricercatori hanno anche documentato metodi di offuscamento distinti, tra cui l’astrazione semantica in lingua cinese e logiche di decrittazione personalizzate progettate per nascondere il comportamento del malware.

Mitigazione

Gli utenti dovrebbero essere particolarmente cauti con i file LNK, gli archivi compressi e i documenti ricevuti da fonti non affidabili o inaspettate. Le organizzazioni dovrebbero esaminare le voci di avvio, le attività pianificate e le posizioni del registro per eventuali modifiche non autorizzate. Monitorare le attività sospette di PowerShell e le connessioni di rete in uscita insolite è essenziale per identificare le prime fasi della compromissione.

Risposta

Se viene rilevata questa attività, i soccorritori dovrebbero eseguire una revisione forense del %LOCALAPPDATA% and %APPDATA% directory per identificare script scaricati e artefatti correlati. Task Scheduler dovrebbe essere controllato per compiti sospetti come CheckRealtekAudioVersion or ResetRealtekAudioSettings64. I sistemi interessati dovrebbero essere isolati immediatamente per prevenire ulteriori comunicazioni con i domini e gli indirizzi IP malintenzionati identificati.

Flusso di Attacco

Rilevazioni

Possibilità di Esecuzione Tramite Linee di Comando PowerShell Nascoste (via cmdline)

Team SOC Prime
11 Giu 2026

Possibile Tentativo di Esecuzione di Script AutoHotkey (via cmdline)

Team SOC Prime
11 Giu 2026

LOLBAS WScript / CScript (via process_creation)

Team SOC Prime
11 Giu 2026

Stringhe Powershell Sospette (via powershell)

Team SOC Prime
11 Giu 2026

Chiama Metodi .NET Sospetti da Powershell (via powershell)

Team SOC Prime
11 Giu 2026

Possibili Indicatori di Offuscamento Powershell (via powershell)

Team SOC Prime
11 Giu 2026

IOC (HashSha256) per rilevare: Attori delle Minacce Armano la Moda dell’AI per Consegna di AsyncRAT

Regole SOC Prime AI
11 Giu 2026

IOC (SourceIP) per rilevare: Attori delle Minacce Armano la Moda dell’AI per Consegna di AsyncRAT

Regole SOC Prime AI
11 Giu 2026

IOC (DestinationIP) per rilevare: Attori delle Minacce Armano la Moda dell’AI per Consegna di AsyncRAT

Regole SOC Prime AI
11 Giu 2026

AsyncRAT Comando e Controllo tramite Crittografia RijndaelManaged [Windows Sysmon]

Regole SOC Prime AI
11 Giu 2026

Rilevamento della Comunicazione del Dominio C2 di AsyncRAT [Connessione di Rete Windows]

Regole SOC Prime AI
11 Giu 2026

Esecuzione Powershell Sospetta con Finestre Nascoste e Bypass di Sicurezza [Windows Powershell]

Regole SOC Prime AI
11 Giu 2026

Rileva Hollowing di Processi tramite Creazione di Processi Sospetti [Creazione di Processi Windows]

Regole SOC Prime AI
11 Giu 2026

Esecuzione della Simulazione

Prerequisito: Il Controllo di Pre-volo della Telemetria e del Baseline deve essere passato.

Motivo: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrazione dell’Attacco e Comandi: Un avversario ha ottenuto l’accesso iniziale e si sta preparando per stabilire un canale di Comando e Controllo (C2) persistente utilizzando AsyncRAT. Per evadere il rilevamento basato su firme di rete, l’attaccante utilizza la classe .NET RijndaelManaged per crittografare il traffico. L’attaccante esegue una one-liner PowerShell che instanzia il crittografo, con l’intenzione di incapsulare il battito C2 in un payload crittografato. Questo comando è progettato per attivare la regola di rilevamento basata su stringhe specifiche.

  • Script di Test di Regressione:

    # Simulazione dell'instanziazione di crittografia in stile AsyncRAT in PowerShell
    # Questo comando è progettato per corrispondere alla stringa 'RijndaelManaged.CreateEncryptor' nella linea di comando.
    $code = "[System.Security.Cryptography.RijndaelManaged]::CreateEncryptor()"
    powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "$encryptor = [System.Security.Cryptography.RijndaelManaged]::CreateEncryptor(); Write-Output 'Motore di crittografia inizializzato.'"
  • Comandi di Ripristino:

    # Nessuna modifica persistente fatta dallo script di simulazione; tuttavia, 
    # si mantiene la storia di PowerShell svuotata per rimuovere tracce del comando.
    Clear-History
    Remove-Item (Get-PSReadlineOption).HistorySavePath -ErrorAction SilentlyContinue