Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
AhnLab ha scoperto una campagna di phishing che distribuisce file LNK malevoli mascherati da notifiche di posta sicura di un importante fornitore di carte di credito coreano. Quando aperto, il collegamento lancia un HTA tramite mshta.exe e PowerShell, quindi scarica payload successivi che cambiano a seconda del fatto che Windows Defender sia abilitato. Se Defender è attivo, gli aggressori usano curl per recuperare file criptati che vengono poi decompressi ed eseguiti. Se Defender è disabilitato, la catena passa al caricamento diretto delle DLL e ad ulteriori attività di downloader. Il malware risultante supporta il furto di informazioni, keylogging, raccolta degli appunti e capacità di backdoor.
Indagine
L’indagine ha dimostrato che il file LNK iniziale avvia mshta.exe, che esegue un HTA contenente VBScript offuscato. Quell’HTA scarica pipe.zip, che include script codificati in Base64 denominati 1.log, 1.ps1, e 2.log, tutti decodificati ed eseguiti in memoria. Quando Defender è inattivo, il malware invece scarica user.txt and sys.log, decripta sys.log in sys.dll, ed esegue tramite rundll32. L’analisi dei user.txt decriptati ha esposto tre URL di Google Drive utilizzati per recuperare ulteriori file malevoli, inclusi notepad.log, net, e app, che sono memorizzati sotto %LOCALAPPDATA%.
Mitigazione
Le difese consigliate includono la verifica della legittimità degli allegati di posta elettronica, la prevenzione dell’esecuzione automatica di file LNK e il monitoraggio per l’uso sospetto di mshta.exe and curl. I team di sicurezza dovrebbero anche cercare e rimuovere file come 1.log, 1.ps1, 2.log, notepad.log, net, e app da %TEMP% and %LOCALAPPDATA%. Inoltre, i difensori dovrebbero ispezionare il sistema per cambiamenti imprevisti al registro e garantire che Windows Defender o un’altra piattaforma di protezione endpoint rimanga abilitata e correttamente configurata.
Risposta
Se viene rilevata questa attività, isolare immediatamente il sistema interessato, terminare i mshta.exe, curl, o rundll32 processi che eseguono file sconosciuti e conservare gli artefatti malevoli per l’analisi forense. Eseguire una scansione completa del sistema, reimpostare eventuali credenziali potenzialmente esposte e monitorare per attività di backdoor successive legate a notepad.log. Il contenuto delle rilevazioni dovrebbe essere aggiornato con gli indicatori di compromissione osservati, e i controlli di sicurezza della posta elettronica dovrebbero essere rafforzati per bloccare futuri inganni di phishing simili.
graph TB %% Class Definitions classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Nodes initial_user_exec[“<b>Tecnica</b> – <b>T1204.002 Esecuzione utente: file malevolo</b><br/>La vittima apre un file .lnk mascherato da email sicura di una società di carte di credito.”] class initial_user_exec action exec_mshta[“<b>Tecnica</b> – <b>T1218.005 Esecuzione proxy di binario di sistema: Mshta</b><br/>Il file LNK avvia PowerShell che esegue mshta.exe per recuperare un HTA remoto con VBScript offuscato.”] class exec_mshta action exec_powershell[“<b>Tecnica</b> – <b>T1059.001 Interprete di comandi: PowerShell</b><br/>PowerShell scarica payload aggiuntivi tramite curl.”] class exec_powershell action masquerade[“<b>Tecnica</b> – <b>T1036.008 Mascheramento: tipo di file falsificato</b><br/>Il file LNK si maschera come email sicura.”] class masquerade action obfuscate[“<b>Tecnica</b> – <b>T1027 File o informazioni offuscate</b><br/>Payload cifrati con AES e codificati in Base64; abuso dell’icona LNK.”] class obfuscate action sandbox_evasion[“<b>Tecnica</b> – <b>T1497.002 Evasione sandbox: controlli attività utente</b><br/>Il malware verifica lo stato di Windows Defender.”] class sandbox_evasion action cond_defender[“<b>Operatore</b> – Condizione AND basata sullo stato di Defender”] class cond_defender operator defender_on[“<b>Condizione</b> – Defender attivo”] class defender_on action defender_off[“<b>Condizione</b> – Defender disattivo”] class defender_off action download_pipe[“<b>Azione</b> – Scarica pipe.zip, lo decifra ed estrae 1.log, 1.ps1, 2.log.”] class download_pipe action cred_access[“<b>Tecnica</b> – <b>T1539 Hijacking sessione browser</b>, <b>T1185 Cookie di sessione web</b>, <b>T1555.003 Credenziali browser</b><br/>Script per il furto di credenziali.”] class cred_access action collection[“<b>Tecnica</b> – <b>T1056.001 Keylogging</b> e <b>T1115 Dati clipboard</b><br/>Raccolta di tasti e contenuti della clipboard.”] class collection action download_sys[“<b>Azione</b> – Scarica user.txt e sys.log, decifra sys.dll.”] class download_sys action load_rundll[“<b>Tecnica</b> – <b>T1218.011 Esecuzione proxy binario firmato: Rundll32</b><br/>Carica sys.dll tramite rundll32.”] class load_rundll action persistence_appinit[“<b>Tecnica</b> – <b>T1546.010 Esecuzione attivata da evento: AppInit DLL</b><br/>sys.dll usato per persistenza ed evasione.”] class persistence_appinit action command_control[“<b>Tecnica</b> – <b>T1219 Strumenti di accesso remoto</b><br/>notepad.log consente esecuzione remota ed esfiltrazione dati.”] class command_control action clipboard_phish[“<b>Tecnica</b> – <b>T1204.004 Phishing copia-incolla</b><br/>Tecniche di phishing tramite clipboard.”] class clipboard_phish action %% Connections initial_user_exec –>|porta a| exec_mshta exec_mshta –>|esegue| exec_powershell exec_powershell –>|abilita| masquerade masquerade –>|abilita| obfuscate obfuscate –>|abilita| sandbox_evasion sandbox_evasion –>|attiva| cond_defender cond_defender –>|Defender attivo| defender_on cond_defender –>|Defender disattivo| defender_off defender_on –>|scarica| download_pipe download_pipe –>|contiene| cred_access cred_access –>|abilita| collection defender_off –>|scarica| download_sys download_sys –>|carica| load_rundll load_rundll –>|stabilisce| persistence_appinit persistence_appinit –>|abilita| command_control command_control –>|usa| clipboard_phish
Flusso di Attacco
Rilevamenti
Possibile esecuzione con nome script corto (via cmdline)
Visualizza
Comportamento sospetto di evasione difensiva LOLBAS MSHTA rilevato tramite comandi associati (via process_creation)
Visualizza
Possibile infiltrazione / esfiltrazione dati / C2 tramite servizi / strumenti di terze parti (via proxy)
Visualizza
Possibile infiltrazione / esfiltrazione dati / C2 tramite servizi / strumenti di terze parti (via dns)
Visualizza
Esecuzione Rundll32 con sys.dll in ambienti con Windows Defender disabilitato [Creazione processo Windows]
Visualizza
File LNK malevolo con esecuzione comando mshta [Windows Powershell]
Visualizza
Esecuzione Simulazione
Prerequisito: il controllo preliminare di Telemetria e Baseline deve essere stato superato.
-
Narrativa & Comandi di Attacco:
Un avversario ha ottenuto un punto d’appoggio sull’endpoint e intende eseguire codice arbitrario evitando il controllo tradizionale delle applicazioni. Creano un file HTA malevolo contenente VBScript offuscato che, quando reso, scrive un backdoor PowerShell su disco. Per lanciare l’HTA, utilizzano un collegamento Windows (.lnk) che chiamapowershell.execon un comando che invocamshta.exe. L’esecuzione del collegamento attiva la catena PowerShell →mshtaproducendo la telemetria esatta che la regola monitora. -
Script di Test di Regressione:
# ------------------------------------------------- # 1. Crea HTA malevolo con VBScript offuscato # ------------------------------------------------- $htaPath = "$env:TEMPevil.hta" $vbscript = @" <script language='VBScript'> ' Payload VBScript offuscato (esempio: scrivi un file) Dim fso, f Set fso = CreateObject("Scripting.FileSystemObject") Set f = fso.CreateTextFile("C:WindowsTemppwned.txt", True) f.WriteLine "Compromised by ATT&CK" f.Close </script> "@ Set-Content -Path $htaPath -Value $vbscript -Encoding ASCII # ------------------------------------------------- # 2. Crea un collegamento (.lnk) che esegue PowerShell → mshta # ------------------------------------------------- $lnkPath = "$env:TEMPlaunch_malicious.lnk" $ws = New-Object -ComObject WScript.Shell $shortcut = $ws.CreateShortcut($lnkPath) # Comando PowerShell che lancia mshta con il file HTA $psCommand = "mshta.exe `"$htaPath`"" $shortcut.TargetPath = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" $shortcut.Arguments = "-NoProfile -WindowStyle Hidden -Command `"$psCommand`"" $shortcut.Save() # ------------------------------------------------- # 3. Esegui il collegamento per attivare la rilevazione # ------------------------------------------------- Write-Host "Esecuzione del collegamento malevolo..." & $lnkPath # ------------------------------------------------- # 4. Pausa per consentire la raccolta dei log # ------------------------------------------------- Start-Sleep -Seconds 10 -
Comandi di Pulizia:
# Rimuovi gli artefatti creati Remove-Item -Path "$env:TEMPevil.hta" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlaunch_malicious.lnk" -Force -ErrorAction SilentlyContinue Remove-Item -Path "C:WindowsTemppwned.txt" -Force -ErrorAction SilentlyContinue Write-Host "Pulizia completata."