Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un’email di phishing che si spacciava per DHL ha indirizzato il destinatario a un allegato PDF che gli ha istruito di cliccare su un pulsante. Quel pulsante ha portato al download di un file dannoso .scr da un sito web di logistica vietnamita compromesso. Una volta eseguito, il file ha installato uno strumento di accesso remoto SimpleHelp firmato, permettendo all’attaccante di stabilire un accesso remoto persistente alla macchina della vittima.
Indagine
Il rapporto spiega che l’email di phishing utilizzava immagini ospitate su un servizio Yahoo legittimo per apparire più convincente e si basava su un indirizzo mittente falsificato per imitare una fonte affidabile. Il file scaricato .scr è stato identificato come un programma di installazione di SimpleHelp per la gestione remota modificato che ha attivato un prompt UAC prima di essere eseguito. Dopo l’installazione, il software ha avviato una comunicazione in uscita con l’infrastruttura controllata dagli attaccanti per ricevere comandi e mantenere il controllo sul sistema compromesso.
Mitigazione
Le organizzazioni dovrebbero addestrare gli utenti a verificare attentamente gli indirizzi dei mittenti e prestare molta attenzione alle estensioni di file sospette prima di aprire allegati o download. L’autenticazione multi-fattore dovrebbe essere abilitata ove possibile, e dovrebbe essere distribuita una protezione degli endpoint con capacità di filtraggio web aggiornate per bloccare i contenuti dannosi. I difensori dovrebbero anche bloccare il dominio dannoso identificato e monitorare l’attività non autorizzata di SimpleHelp in tutto l’ambiente.
Risposta
Se viene rilevata questa attività, isolare immediatamente l’endpoint interessato, terminare il processo SimpleHelp e rimuovere il file dannoso .scr dall’host. Gli investigatori dovrebbero quindi eseguire un’analisi forense per identificare eventuali ulteriori artefatti o attività successive legate all’intrusione. Tutte le credenziali utilizzate sul sistema compromesso dovrebbero essere reimpostate e le regole di sicurezza delle email dovrebbero essere rafforzate per ridurre l’esposizione a simili esche di phishing in futuro.
"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef file fill:#ccffcc classDef malware fill:#ff9999 classDef protocol fill:#ccccff %% Nodes action_phishing["<b>Azione</b> – Campagna di Phishing"] class action_phishing action tech_T1566_001["<b>Tecnica</b> – T1566.001 Phishing: Allegato di Spearphishing<br/><b>Descrizione</b>: Email di phishing mirate che contengono allegati dannosi."] class tech_T1566_001 technique file_pdf["<b>File</b> – Allegato PDF dannoso (che si spaccia per DHL)"] class file_pdf file action_user_exec["<b>Azione</b> – Esecuzione Utente di File Dannoso"] class action_user_exec action tech_T1204_002["<b>Tecnica</b> – T1204.002 Esecuzione Utente: File Dannoso<br/><b>Descrizione</b>: L’utente è indotto ad aprire o eseguire un file dannoso."] class tech_T1204_002 technique file_scr["<b>File</b> – AWB-Doc0921.scr scaricato e eseguito"] class file_scr file tech_T1553_002["<b>Tecnica</b> – T1553.002 Sovvertimento dei Controlli di Fiducia: Firma del Codice<br/><b>Descrizione</b>: Gli avversari utilizzano certificati di firma del codice rubati o falsificati per firmare file dannosi."] class tech_T1553_002 technique tech_T1036_008["<b>Tecnica</b> – T1036.008 Mascheramento: Tipo di File Mascherato<br/><b>Descrizione</b>: I file vengono rinominati o presentati come un tipo diverso per bypassare le difese."] class tech_T1036_008 technique malware_simplehelp["<b>Malware</b> – Strumento di Accesso Remoto SimpleHelp"] class malware_simplehelp malware tech_T1219["<b>Tecnica</b> – T1219 Strumenti di Accesso Remoto<br/><b>Descrizione</b>: Utilizzo di strumenti di accesso remoto per controllare host compromessi."] class tech_T1219 technique tech_T1071_001["<b>Tecnica</b> – T1071.001 Protocollo di Livello Applicazione: Protocolli Web<br/><b>Descrizione</b>: Utilizzo di HTTP/HTTPS per comunicazioni di controllo e comando."] class tech_T1071_001 protocol tech_T1133["<b>Tecnica</b> – T1133 Servizi Remoti Esterni<br/><b>Descrizione</b>: Utilizzo di servizi remoti legittimi per accedere a sistemi compromessi."] class tech_T1133 technique %% Connections action_phishing –>|uses| tech_T1566_001 tech_T1566_001 –>|delivers| file_pdf file_pdf –>|triggers| action_user_exec action_user_exec –>|uses| tech_T1204_002 tech_T1206_002 –>|executes| file_scr file_scr –>|signed_with| tech_T1553_002 tech_T1553_002 –>|enables| tech_T1036_008 tech_T1036_008 –>|leads_to| malware_simplehelp malware_simplehelp –>|uses| tech_T1219 malware_simplehelp –>|communicates_via| tech_T1071_001 malware_simplehelp –>|accessed_via| tech_T1133 "