La Campagna di Malware APT-Q-27 Si Concentra sul Supporto Clienti Web3

Ruslan Mikhalov Capo della Ricerca sulle Minacce presso SOC Prime

Segui

La Campagna di Malware APT-Q-27 Si Concentra sul Supporto Clienti Web3

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Sommario

Un attore di minacce motivato finanziariamente tracciato come APT-Q-27 (noto anche come GoldenEyeDog) sta conducendo una campagna malware multi-stadio che inizia da interazioni di chat di supporto clienti Web3. L’esca iniziale è un file .pif mascherato da screenshot, che implementa un caricatore .NET personalizzato. Quel caricatore estrae ulteriori fasi da AWS S3, costruisce una directory di staging nascosta e sfrutta il sideloading di DLL abbinando una DLL dannosa a un eseguibile legittimo della piattaforma YY. La fase finale installa una backdoor che comunica su una porta TCP non standard, abilitando l’accesso remoto furtivo oltre le baseline tipiche del traffico web.

Indagine

ZeroShadow ha analizzato varianti di loader multiple, tra cui Feedback.exe e photo2025060268jpg.exe, e ha recuperato un URL C2 codificato doppio-Base64 incapsulato nella catena. Il reverse engineering ha rivelato la logica di decrittazione del loader e il flusso di sideloading utilizzato per avviare l’esecuzione. Gli analisti hanno anche documentato un marker di percorso di staging costante contenente “@27”, oltre a un meccanismo di persistenza tramite un valore di esecuzione HKCU denominato SystemUpdats. È stato osservato che la backdoor utilizza un set hard-coded di 37 indirizzi IP C2, comunicando su TCP 15628, mentre mischia l’attività riferendosi a URL di aggiornamento di Microsoft come indicatori di rete ingannevoli.

Mitigazione

Abilita la visibilità completa delle estensioni dei file e blocca l’esecuzione di file .pif tra gli endpoint. Monitora la creazione di directory nascoste sotto le posizioni cache in stile Windows Update e segnala il valore della chiave di esecuzione SystemUpdats. Rafforza UAC impedendo agli attaccanti di azzerare simultaneamente le tre chiavi di politica rilevanti, e limita la connettività in uscita a TCP 15628 nei punti di uscita. Applica la convalida della firma del codice e scruta i binari firmati lanciati da directory non di sistema per ridurre il rischio di sideloading di DLL.

Risposta

Se vengono rilevate minacce, isola l’endpoint e conserva sia la memoria che gli artefatti del disco per l’analisi. Caccia la directory di staging contenente “@27”, l’entrata della chiave di esecuzione SystemUpdats e qualsiasi DLL sospetta abbinata all’eseguibile legittimo YY. Blocca gli IP/domain C2 identificati e implementa politiche di controllo delle applicazioni che impediscono l’esecuzione di binari non firmati o non affidabili dai percorsi del profilo utente. Espandi l’ambito su tutta la flotta per gli stessi schemi di persistenza e di rete per identificare ulteriori host interessati.

"graph TB %% Definizioni delle classi classDef action fill:#99ccff classDef file fill:#ffcc99 classDef registry fill:#c2f0c2 classDef network fill:#ff99cc classDef builtin fill:#cccccc %% Nodi action_phishing_link["Azione – T1204.001 Esecuzione Utente: Link Malevolo URL ingannevole inviato in live-chat, la vittima clicca e scarica un file .pif chiamato photo2025060268jpg.exe"] class action_phishing_link action file_pif["File – Nome: photo2025060268jpg.exe Tipo: eseguibile .pif mascherato da immagine"] class file_pif file action_malicious_file["Azione – T1204.002 Esecuzione Utente: File Malevolo Il .pif viene eseguito, apre Paint con un’immagine di errore falsa e lancia il loader"] class action_malicious_file action file_loader["Malware – Nome: Loader Comportamento: Decifra i payload, lancia updat.exe"] class file_loader builtin action_obfuscation["Azione – T1027.008 File o Informazioni Offuscate Tutti i stringhe, URL e payload sono codificati doppio-Base64"] class action_obfuscation action action_debugger_evasion["Azione – T1622 Elusione Debugger Controlla IsDebuggerPresent e lo stack delle chiamate, esce se viene rilevato un debugger"] class action_debugger_evasion action action_persistence["Azione – T1547.001 Chiavi di Esecuzione del Registro/Cartella di Avvio Scrive HKCUSoftwareMicrosoftWindowsCurrentVersionRunSystemUpdats u2192 updat.exe in una cartella di staging nascosta"] class action_persistence action registry_run_key["Registro – Percorso: HKCUSoftwareMicrosoftWindowsCurrentVersionRunSystemUpdats Valore: percorso updat.exe"] class registry_run_key registry file_updat["File – Nome: updat.exe Posizione: directory di staging nascosta"] class file_updat file action_uac_bypass["Azione – T1548.002 Bypass UAC Imposta EnableLUA, ConsentPromptBehaviorAdmin e PromptOnSecureDesktop a 0 in un’unica transazione"] class action_uac_bypass action action_appinit["Azione – T1546.010 AppInit DLLs & T1546.009 AppCert DLLs updat.exe viene lanciato con la directory di lavoro impostata sulla cartella di staging causando il caricamento di DLL malevole"] class action_appinit action file_vcruntime["DLL – Nome: vcruntime140.dll (malevolo)"] class file_vcruntime file file_msvcp["DLL – Nome: msvcp140.dll (malevolo)"] class file_msvcp file file_crashreport["DLL – Nome: crashreport.dll (malevolo)"] class file_crashreport file action_dll_sideload["Azione – T1574.002 Caricamento Laterale DLL Le DLL malevoli vengono caricate al posto delle librerie runtime legittime"] class action_dll_sideload action action_c2["Azione – T1571 Porta Non-Standard & T1573 Canale Criptato La backdoor stabilisce una connessione TCP al C2 sulla porta 15628, traffico criptato, recupera il manifesto da AWS S3"] class action_c2 action network_c2["Rete – Protocollo: TCP Porta: 15628 Endpoint: server C2 (AWS S3)"] class network_c2 network %% Connessioni action_phishing_link –>|scarica| file_pif file_pif –>|esegue| action_malicious_file action_malicious_file –>|lancia| file_loader file_loader –>|usa| action_obfuscation file_loader –>|usa| action_debugger_evasion file_loader –>|inizia| action_persistence action_persistence –>|scrive| registry_run_key registry_run_key –>|punta a| file_updat file_updat –>|attivato da| action_uac_bypass action_uac_bypass –>|abilita| action_appinit action_appinit –>|carica| file_vcruntime action_appinit –>|carica| file_msvcp action_appinit –>|carica| file_crashreport file_vcruntime –>|contribuisce a| action_dll_sideload file_msvcp –>|contribuisce a| action_dll_sideload file_crashreport –>|contribuisce a| action_dll_sideload action_dll_sideload –>|abilita| action_c2 action_c2 –>|comunica con| network_c2 "

Flusso di Attacco

Narrativa e Comandi dell’Attacco:
Un avversario con diritti di amministratore locale cerca di disabilitare UAC per agevolare l’utilizzo di strumenti di escalation dei privilegi successivi. Usando il nativo reg.exe utility (un binario living-off-the-land), l’attaccante imposta i tre valori politichi UAC critici a 0 in rapida successione (meno di 30 secondi) per evitare il rilevamento da processi di audit manuali.
```
# Step 1 – Disable UAC “EnableLUA”
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v EnableLUA /t REG_DWORD /d 0 /f

# Step 2 – Disable consent prompt for admins
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 0 /f

# Step 3 – Disable secure desktop for UAC prompts
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v PromptOnSecureDesktop /t REG_DWORD /d 0 /f
```
Questi tre comandi generano tre Eventi Registro log (EventID 4657 nel canale di Sicurezza e il corrispondente eventi Microsoft-Windows-Registry/Operativi ) contenenti i percorsi degli Oggetti Mirati e i dettagli valori che la regola Sigma corrisponde.

Script di Test di Regressione: Il seguente script PowerShell esegue le tre scritture con una pausa di 5 secondi tra ciascuna per rimanere comodamente all’interno della finestra di 30 secondi fornendo anche un flusso di esecuzione deterministico.

# Test di Regressione – Disabilitazione UAC tramite registro
$regPath = "HKLM:SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem"

# Salva i valori originali per il ripristino successivo
$originalEnableLUA = (Get-ItemProperty -Path $regPath -Name EnableLUA -ErrorAction SilentlyContinue).EnableLUA
$originalConsent   = (Get-ItemProperty -Path $regPath -Name ConsentPromptBehaviorAdmin -ErrorAction SilentlyContinue).ConsentPromptBehaviorAdmin
$originalPrompt    = (Get-ItemProperty -Path $regPath -Name PromptOnSecureDesktop -ErrorAction SilentlyContinue).PromptOnSecureDesktop

# Disabilita UAC
Set-ItemProperty -Path $regPath -Name EnableLUA -Value 0
Start-Sleep -Seconds 5
Set-ItemProperty -Path $regPath -Name ConsentPromptBehaviorAdmin -Value 0
Start-Sleep -Seconds 5
Set-ItemProperty -Path $regPath -Name PromptOnSecureDesktop -Value 0

Write-Host "UAC disattivato – i log di verifica dovrebbero essere ora ingestiti."

Comandi di Pulizia: Ripristina le impostazioni originali dell’UAC per riportare il sistema al suo stato pre-test.

# Pulizia – Ripristina le impostazioni originali dell'UAC
$regPath = "HKLM:SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem"

if ($null -ne $originalEnableLUA) { Set-ItemProperty -Path $regPath -Name EnableLUA -Value $originalEnableLUA }
if ($null -ne $originalConsent)   { Set-ItemProperty -Path $regPath -Name ConsentPromptBehaviorAdmin -Value $originalConsent }
if ($null -ne $originalPrompt)    { Set-ItemProperty -Path $regPath -Name PromptOnSecureDesktop -Value $originalPrompt }

Write-Host "Le impostazioni UAC sono state ripristinate ai valori originali."

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis