Operazione Accesso Nascosto: Spear-Phishing Basato su LNK Mirato al Settore Giudiziario Argentino per Distribuire un RAT Nascosto
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Seqrite ha identificato un’operazione di spear-phishing che consegna un collegamento LNK armato associato a un caricatore BAT malevolo. Una volta eseguito, il caricatore scarica un trojan di accesso remoto basato su Rust da un repository GitHub, dove esegue controlli anti-analisi e stabilisce un canale di comando e controllo resiliente. L’attività è valutata come mirata alle organizzazioni giudiziarie dell’Argentina e alle entità governative adiacenti. Per aumentare la probabilità di esecuzione, gli aggressori includono contenuti esca PDF dall’aspetto legittimo nel pacchetto di consegna.
Indagine
Gli analisti hanno esaminato l’archivio ZIP contenente i file LNK, BAT e PDF, quindi hanno ricostruito la sequenza di comandi PowerShell usata per attivare il caricatore BAT. Hanno profilato la funzionalità del RAT, inclusi i controlli anti-VM/anti-sandbox, il riconoscimento degli host e la fingerprinting del sistema, la configurazione della persistenza e la gestione criptata delle attività su C2. I comportamenti osservati sono stati mappati sulle tecniche MITRE ATT&CK rilevanti, con schemi notevoli come il mascheramento, il bypass delle politiche di esecuzione di PowerShell e la logica C2 secondaria/di riserva per mantenere la connettività se i canali primari falliscono.
Mitigazione
Applica una governance rigorosa per l’esecuzione di collegamenti LNK, in particolare da posizioni scrivibili dall’utente e archivi compressi, e applica politiche di esecuzione PowerShell rafforzate con logging centralizzato. Restringi o proxi l’accesso in uscita a repository GitHub non autorizzati, e allerta sui modelli sospetti di download e esecuzione originati da interpreti di script. Monitora la persistenza tramite chiavi di registro Run o attività pianificate con nomi anomali o recentemente osservati. Ove possibile, implementa rilevamenti che evidenziano comportamenti comuni anti-analisi e garantisci che gli utenti che gestiscono PDF operino con i privilegi minimi per ridurre il raggio di esplosione di un’esecuzione riuscita.
Risposta
Attiva avvisi quando viene creato o eseguito il LNK armato e quando viene osservata la catena di invocazioni PowerShell associata. Caccia proattivamente l’oggetto msedge_proxy.exe rilasciato e qualsiasi voce di persistenza collegata nel registro o nel pianificatore di attività. Isola gli endpoint interessati, termina l’albero dei processi malevoli e rimuovi eventuali attività pianificate create e valori delle chiavi Run. Completa una revisione forense completa per convalidare l’ambito, confermare se i dati sono stati messi in scena o esfiltrati, e identificare eventuali host aggiuntivi esposti allo stesso modello di consegna ZIP/LNK.
Flusso di Attacco
Rilevamenti
Nome del Binary di Microsoft Edge Eseguito al di fuori di Program Files (tramite cmdline)
Visualizza
Controlli Sospetti Anti-VM tramite Artifacts del Driver di Virtualizzazione (via cmdline)
Visualizza
Binary di Windows è stato Scaricato da Github (via proxy)
Visualizza
Possibile Enumerazione di Sistema (via cmdline)
Visualizza
IOC (SourceIP) per rilevare: Operation Covert Access: Weaponized LNK-Based Spear-Phishing Targeting Argentina’s Judicial Sector to Deploy a Covert RAT
Visualizza
IOC (DestinationIP) per rilevare: Operation Covert Access: Weaponized LNK-Based Spear-Phishing Targeting Argentina’s Judicial Sector to Deploy a Covert RAT
Visualizza
IOC (HashMd5) per rilevare: Operation Covert Access: Weaponized LNK-Based Spear-Phishing Targeting Argentina’s Judicial Sector to Deploy a Covert RAT
Visualizza
Spear-Phishing Basato su LNK Armato con Esecuzione PowerShell [Windows Powershell]
Visualizza
Rilevamento dell’Esecuzione di msedge_proxy.exe [Creazione Processo Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo di Telemetria e Baseline Pre-Volato deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione dell’Attacco & Comandi:
-
Compromissione Iniziale: L’attaccante invia un’email di spear-phishing con un
.lnkscorciatoia mirata a un dipendente giudiziario. La scorciatoia punta a un comando PowerShell che si esegue con-ExecutionPolicy Bypasse una finestra nascosta per evitare sospetti. -
Flusso di Esecuzione: Quando l’utente clicca sulla scorciatoia, Windows esegue il seguente comando, che lancia
health-check.bat. Il file batch contiene il payload malevolo reale (ad esempio, un downloader PowerShell che recupera un RAT).powershell.exe -ep bypass -w hidden -f health-check.bat -
Consegna del Payload:
health-check.batesegue un silenzioso HTTP GET a un C2 malevolo, scrive il payload su%TEMP%, ed esegue il payload.
-
-
Script di Test di Regressione: Lo script qui sotto riproduce la stessa telemetria creando
health-check.batcon contenuto innocuo (per mantenere il test sicuro) e quindi invocando il comando PowerShell.# ------------------------------------------------- # Script di Simulazione – Esecuzione PowerShell LNK Armato # ------------------------------------------------- # 1. Crea un health-check.bat vuoto (innocuo per il test) $batPath = "$env:TEMPhealth-check.bat" Set-Content -Path $batPath -Value '@echo off & echo Simulated payload executed' -Encoding ASCII # 2. Esegui PowerShell con i flag esatti e il nome dello script $psCommand = "powershell.exe -ep bypass -w hidden -f `"$batPath`"" Write-Host "Esecuzione: $psCommand" Start-Process -FilePath "powershell.exe" -ArgumentList "-ep", "bypass", "-w", "hidden", "-f", $batPath -NoNewWindow # 3. Aspetta qualche secondo per assicurare che i log siano generati Start-Sleep -Seconds 5 # ------------------------------------------------- -
Comandi di Pulizia: Rimuovi il file batch di test e qualsiasi processo rimasto.
# Pulisci il laurd-ddfeg-viewport-keymeth-check.bat Remove-Item -Path "$env:TEMPhealth-check.bat" -ErrorAction SilentlyContinue # Assicurati che non vi siano istanze di PowerShell residue dal test Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Stop-Process -Force