SOC Prime Bias: Critico

29 Dec 2025 09:55 UTC

Sfruttamento Attivo della Vulnerabilità di Crittografia Non Sicura in Gladinet CentreStack/Triofox

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Sfruttamento Attivo della Vulnerabilità di Crittografia Non Sicura in Gladinet CentreStack/Triofox
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

Gli attori delle minacce stanno sfruttando attivamente la crittografia debole in Gladinet CentreStack e Triofox. La catena sfrutta chiavi AES codificate per recuperare il file web.config e poi si sposta su attacchi di deserializzazione ViewState. In due incidenti osservati il 15 dicembre, PowerShell consegnato tramite il processo di lavoro IIS è stato utilizzato per scaricare ed eseguire un binario dannoso chiamato conqueror.exe. L’attività è potenzialmente collegata al gruppo ransomware cl0p.

Indagine

Huntress ha registrato PowerShell avviato da w3wp.exe che ha invocato un payload codificato base64 per recuperare conqueror.exe da 185.196.11.207. L’eseguibile è stato salvato in C:UsersPublicconqueror.exe ed eseguito per l’enumerazione dell’host. Il comportamento successivo ha incluso una richiesta curl allo stesso server e l’uso di quser.exe per elencare le sessioni attive. L’ID evento 1316 ha anche catturato tentativi di sfruttamento da 146.70.134.50 associato a CVE-2025-30406.

Mitigazione

Gladinet ha rilasciato la versione 16.12.10420.56791, ruotando le chiavi crittografiche statiche e correggendo la debolezza della deserializzazione ViewState. Le organizzazioni dovrebbero aggiornare prontamente e ruotare i valori machineKey esistenti per invalidare l’esposizione precedente. Rivedere i log web per la stringa di query criptata “vghpI7EToZUDIZDdprSubL3mTZ2” per identificare il probing o lo sfruttamento. Ridurre ulteriormente il rischio disabilitando gli handler IIS non necessari e applicando una convalida rigorosa degli input.

Risposta

Allerta su PowerShell con payload base64 provenienti da w3wp.exe e sulla creazione o esecuzione di C:UsersPublicconqueror.exe. Isolare gli host interessati, conservare la telemetria IIS e dell’endpoint, e bloccare il traffico in uscita verso gli IP e URL dannosi citati. Verificare l’integrità del web.config, ruotare immediatamente le chiavi macchina, e condurre una revisione forense di tutti i sistemi CentreStack/Triofox per determinare l’impatto e rimuovere gli artefatti.

Flusso di attacco

Rilevamenti

Comportamento Sospetto del Server Microsoft IIS (tramite cmdline)

Team di SOC Prime
23 Dic 2025

Possibile Sfruttamento del Server Web o WebApp [Windows] (tramite cmdline)

Team di SOC Prime
23 Dic 2025

File Sospetti nel Profilo Utente Pubblico (tramite file_evento)

Team di SOC Prime
23 Dic 2025

Esecuzione Sospetta dal Profilo Utente Pubblico (tramite creazione_processi)

Team di SOC Prime
23 Dic 2025

Download o Upload tramite Powershell (tramite cmdline)

Team di SOC Prime
23 Dic 2025

Download di File Sospetto – IP Diretto (tramite proxy)

Team di SOC Prime
23 Dic 2025

IOC (HashSha256) per rilevare: Sfruttamento Attivo della Vulnerabilità Criptografica Insicura di Gladinet CentreStack/Triofox

Regole SOC Prime AI
23 Dic 2025

IOC (SourceIP) per rilevare: Sfruttamento Attivo della Vulnerabilità Criptografica Insicura di Gladinet CentreStack/Triofox

Regole SOC Prime AI
23 Dic 2025

IOC (DestinationIP) per rilevare: Sfruttamento Attivo della Vulnerabilità Criptografica Insicura di Gladinet CentreStack/Triofox

Regole SOC Prime AI
23 Dic 2025

Rilevamento dell’Esecuzione di PowerShell tramite cmd.exe con Codifica Base64 [Windows Powershell]

Regole SOC Prime AI
23 Dic 2025

Potenziale Esecuzione di Codice Remota tramite Processo di Lavoro IIS con PowerShell [Creazione Processo Windows]

Regole SOC Prime AI
23 Dic 2025

Richiesta GET Crittografata per web.config in Gladinet CentreStack [Webserver]

Regole SOC Prime AI
23 Dic 2025

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo della Telemetria & Baseline deve essere stato superato.

Ragionamento: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrazione dell’Attacco & Comandi:

    Un attaccante, dopo aver identificato l’istanza di Gladinet CentreStack, elabora un payload crittografato che si conforma al formato di query vulnerabile. Usando un client web legittimo (ad es., curl o PowerShell Invoke-WebRequest), l’attaccante emette una richiesta GET all’endpoint nascosto /storage/filesvr.dn con il token crittografato che, una volta decrittografato dal server, si risolve in una richiesta per web.config. La richiesta è indistinguibile dal traffico normale a livello di protocollo, ma il modello cifrato unico è catturato dalla regola di rilevamento.

  • Script di Test di Regressione:

    #!/usr/bin/env bash
    # ------------------------------------------------------------
    # Simulare Richiesta GET crittografata per web.config di Gladinet CentreStack
    # ------------------------------------------------------------
    
    # Server Target (sostituire con effettivo hostname/IP)
    TARGET="http://target-server.example.com"
    
    # Uno dei payload crittografati conosciuti dalla regola (esempio)
    ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu"
    
    # Emettere la richiesta
    curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}"
    # ------------------------------------------------------------
  • Comandi di Pulizia:

    # Non sono state effettuate modifiche persistenti all'obiettivo; è stato generato solo traffico di rete.
    # Se è stata avviata una regola firewall temporanea o una cattura di rete per il test, rimuoverla:
    
    # Esempio: arrestare tcpdump (Linux) o rimuovere filtro WinPcap (Windows)
    # sudo pkill -f tcpdump