SOC Prime Bias: Critico

21 Jan 2026 16:10 UTC

Operazione Accesso Nascosto: Spear-Phishing Basato su LNK Mirato al Settore Giudiziario Argentino per Distribuire un RAT Nascosto

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Operazione Accesso Nascosto: Spear-Phishing Basato su LNK Mirato al Settore Giudiziario Argentino per Distribuire un RAT Nascosto
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Seqrite ha identificato un’operazione di spear-phishing che consegna un collegamento LNK armato associato a un caricatore BAT malevolo. Una volta eseguito, il caricatore scarica un trojan di accesso remoto basato su Rust da un repository GitHub, dove esegue controlli anti-analisi e stabilisce un canale di comando e controllo resiliente. L’attività è valutata come mirata alle organizzazioni giudiziarie dell’Argentina e alle entità governative adiacenti. Per aumentare la probabilità di esecuzione, gli aggressori includono contenuti esca PDF dall’aspetto legittimo nel pacchetto di consegna.

Indagine

Gli analisti hanno esaminato l’archivio ZIP contenente i file LNK, BAT e PDF, quindi hanno ricostruito la sequenza di comandi PowerShell usata per attivare il caricatore BAT. Hanno profilato la funzionalità del RAT, inclusi i controlli anti-VM/anti-sandbox, il riconoscimento degli host e la fingerprinting del sistema, la configurazione della persistenza e la gestione criptata delle attività su C2. I comportamenti osservati sono stati mappati sulle tecniche MITRE ATT&CK rilevanti, con schemi notevoli come il mascheramento, il bypass delle politiche di esecuzione di PowerShell e la logica C2 secondaria/di riserva per mantenere la connettività se i canali primari falliscono.

Mitigazione

Applica una governance rigorosa per l’esecuzione di collegamenti LNK, in particolare da posizioni scrivibili dall’utente e archivi compressi, e applica politiche di esecuzione PowerShell rafforzate con logging centralizzato. Restringi o proxi l’accesso in uscita a repository GitHub non autorizzati, e allerta sui modelli sospetti di download e esecuzione originati da interpreti di script. Monitora la persistenza tramite chiavi di registro Run o attività pianificate con nomi anomali o recentemente osservati. Ove possibile, implementa rilevamenti che evidenziano comportamenti comuni anti-analisi e garantisci che gli utenti che gestiscono PDF operino con i privilegi minimi per ridurre il raggio di esplosione di un’esecuzione riuscita.

Risposta

Attiva avvisi quando viene creato o eseguito il LNK armato e quando viene osservata la catena di invocazioni PowerShell associata. Caccia proattivamente l’oggetto msedge_proxy.exe rilasciato e qualsiasi voce di persistenza collegata nel registro o nel pianificatore di attività. Isola gli endpoint interessati, termina l’albero dei processi malevoli e rimuovi eventuali attività pianificate create e valori delle chiavi Run. Completa una revisione forense completa per convalidare l’ambito, confermare se i dati sono stati messi in scena o esfiltrati, e identificare eventuali host aggiuntivi esposti allo stesso modello di consegna ZIP/LNK.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo di Telemetria e Baseline Pre-Volato deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrazione dell’Attacco & Comandi:

    1. Compromissione Iniziale: L’attaccante invia un’email di spear-phishing con un .lnk scorciatoia mirata a un dipendente giudiziario. La scorciatoia punta a un comando PowerShell che si esegue con -ExecutionPolicy Bypass e una finestra nascosta per evitare sospetti.

    2. Flusso di Esecuzione: Quando l’utente clicca sulla scorciatoia, Windows esegue il seguente comando, che lancia health-check.bat. Il file batch contiene il payload malevolo reale (ad esempio, un downloader PowerShell che recupera un RAT).

       powershell.exe -ep bypass -w hidden -f health-check.bat
    3. Consegna del Payload: health-check.bat esegue un silenzioso HTTP GET a un C2 malevolo, scrive il payload su %TEMP%, ed esegue il payload.

  • Script di Test di Regressione: Lo script qui sotto riproduce la stessa telemetria creando health-check.bat con contenuto innocuo (per mantenere il test sicuro) e quindi invocando il comando PowerShell.

    # -------------------------------------------------
    # Script di Simulazione – Esecuzione PowerShell LNK Armato
    # -------------------------------------------------
    # 1. Crea un health-check.bat vuoto (innocuo per il test)
    $batPath = "$env:TEMPhealth-check.bat"
    Set-Content -Path $batPath -Value '@echo off & echo Simulated payload executed' -Encoding ASCII
    
    # 2. Esegui PowerShell con i flag esatti e il nome dello script
    $psCommand = "powershell.exe -ep bypass -w hidden -f `"$batPath`""
    Write-Host "Esecuzione: $psCommand"
    Start-Process -FilePath "powershell.exe" -ArgumentList "-ep", "bypass", "-w", "hidden", "-f", $batPath -NoNewWindow
    
    # 3. Aspetta qualche secondo per assicurare che i log siano generati
    Start-Sleep -Seconds 5
    # -------------------------------------------------
  • Comandi di Pulizia: Rimuovi il file batch di test e qualsiasi processo rimasto.

    # Pulisci il laurd-ddfeg-viewport-keymeth-check.bat
    Remove-Item -Path "$env:TEMPhealth-check.bat" -ErrorAction SilentlyContinue
    
    # Assicurati che non vi siano istanze di PowerShell residue dal test
    Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Stop-Process -Force