Cyberattacco UAC-0255 camuffato come notifica da CERT-UA utilizzando lo strumento AGEWHEEZE

Sommario

Una campagna di phishing mascherata da CERT-UA ha distribuito archivi protetti da password contenenti lo strumento di accesso remoto AGEWHEEZE. Scritto in Go, il malware consente il pieno controllo remoto dei sistemi infetti, inclusi la cattura dello schermo, l’emulazione degli input, le operazioni sui file e la persistenza. Il traffico di comando e controllo è trasmesso su WebSocket a un server ospitato su OVH in ascolto sulla porta 8443. Le vittime mirate includevano agenzie governative ucraine, istituzioni sanitarie, organizzazioni finanziarie ed enti educativi.

Investigazione

I ricercatori di CERT-UA hanno raccolto le email di phishing, il sito web fraudolento cert-ua.tech e i binari malevoli per l’analisi. Una revisione statica ha rivelato percorsi di file RAT, attività pianificate e voci di autorun del registro utilizzate per la persistenza. L’analisi di rete ha identificato il server C2 su OVH utilizzando un certificato autosigned e un listener WebSocket a 54.36.237.92:8443. L’attività è stata tracciata nell’incidente UAC-0255.

Mitigazione

Le organizzazioni dovrebbero bloccare i messaggi da mittenti sconosciuti che impersonano CERT-UA, prevenire l’esecuzione di file avviati da posizioni %APPDATA% e monitorare le attività pianificate e le chiavi di esecuzione del registro descritte. I controlli di rete dovrebbero negare le connessioni in uscita all’IP C2 identificato e ai domini correlati. Dovrebbero inoltre essere applicate politiche di accesso con privilegi minimi e firme AV aggiornate.

Risposta

I difensori dovrebbero rilevare i binari AGEWHEEZE, le attività pianificate SvcHelper e CoreService e le relative voci di esecuzione del registro. I sistemi interessati devono essere isolati, le prove volatili raccolte e l’analisi completa del malware eseguita. I CERT nazionali rilevanti dovrebbero essere avvisati e il contenuto di rilevazione dovrebbe essere aggiornato con tutti gli IOCs estratti.

Esecuzione di Simulazione

Pre-requisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere passato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (T1059) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento.

• Narrativa dell’Attacco & Comandi:
  Un avversario che ha già compromesso una sessione utente vuole stabilire la persistenza installando il RAT AGEWHEEZE. Copiano il binario RAT nell’utente %APPDATA%SysSvc directory (una cartella di “installazione” nota) e quindi lo eseguono tramite un interprete di linea di comando. Poiché il percorso completo del binario corrisponde a uno dei selettori hardcoded nella regola Sigma, Sysmon registrerà la creazione del processo, causando l’attivazione della regola.

• Script di Test di Regressione: (eseguire come utente compromesso)

  # ---------------------------------------------------------
  # Simula il drop e l'esecuzione del RAT AGEWHEEZE per il test di rilevamento
  # ---------------------------------------------------------
  
  # 1. Definire il percorso di installazione target (uno dei selettori di rilevamento)
  $targetDir = "$env:APPDATASysSvc"
  $targetExe = "SysSvc.exe"
  $fullPath = Join-Path -Path $targetDir -ChildPath $targetExe
  
  # 2. Assicurarsi che la directory esista
  if (-not (Test-Path -Path $targetDir)) {
      New-Item -ItemType Directory -Path $targetDir -Force | Out-Null
  }
  
  # 3. Creare un eseguibile fittizio (qui copiamo notepad.exe come sostituto)
  $sourceExe = "$env:SystemRootSystem32notepad.exe"
  Copy-Item -Path $sourceExe -Destination $fullPath -Force
  
  # 4. Eseguire il binario copiato (simulando il lancio del RAT)
  Start-Process -FilePath $fullPath -WindowStyle Hidden
  
  # 5. Facoltativo: scrivere un marcatore sulla console per la verifica
  Write-Host "Simulazione RAT AGEWHEEZE eseguita da $fullPath"
  # ---------------------------------------------------------

• Comandi di Pulizia: (eseguire dopo la validazione)

  # ---------------------------------------------------------
  # Pulizia degli artefatti di simulazione del RAT AGEWHEEZE
  # ---------------------------------------------------------
  
  $targetDir = "$env:APPDATASysSvc"
  $targetExe = "SysSvc.exe"
  $fullPath = Join-Path -Path $targetDir -ChildPath $targetExe
  
  # Terminate qualsiasi processo residuo che corrisponde all'exe fittizio
  Get-Process -Name "notepad" -ErrorAction SilentlyContinue |
      Where-Object { $_.Path -eq $fullPath } |
      Stop-Process -Force
  
  # Rimuovere il binario e la sua cartella
  Remove-Item -Path $fullPath -Force -ErrorAction SilentlyContinue
  # Rimuovere la directory se vuota
  if ((Get-ChildItem -Path $targetDir -Force | Measure-Object).Count -eq 0) {
      Remove-Item -Path $targetDir -Force
  }
  
  Write-Host "Pulizia completata."
  # ---------------------------------------------------------