SOC Prime Bias: Critico

10 Dic 2025 19:28
newspaper icon Acronis

Attacchi Ransomware Makop su Aziende Indiane: Consegna con GuLoader ed Escalation di Privilegi

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Attacchi Ransomware Makop su Aziende Indiane: Consegna con GuLoader ed Escalation di Privilegi
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sommario

Il ransomware Makop, appartenente alla famiglia Phobos, sta colpendo le organizzazioni sfruttando i servizi esposti del Remote Desktop Protocol (RDP) e utilizzando utility disponibili in commercio per la scoperta, il movimento laterale e l’escalation dei privilegi. La campagna incorpora nuovi elementi, tra cui il downloader GuLoader e diversi exploit per l’escalation dei privilegi locali. Gli avversari distribuiscono il binario del ransomware nelle directory utente sotto nomi file fuorvianti. La minaccia mira principalmente alle imprese indiane, ma sono state osservate attività anche in Brasile e Germania.

Indagine

L’Unità di Ricerca sulle Minacce di Acronis ha esaminato i recenti casi di Makop e ha mappato una catena di attacco ripetibile che inizia con tentativi di brute-force RDP, per poi procedere alla scansione della rete, al dump delle credenziali e all’esecuzione di diversi exploit CVE per l’elevazione dei privilegi. È stato osservato che GuLoader consegna payload successivi come AgentTesla e FormBook. Gli investigatori hanno anche documentato gli strumenti di eliminazione dell’AV, i driver vulnerabili e gli uninstaller personalizzati utilizzati per neutralizzare le soluzioni di sicurezza.

Mitigazione

Le difese raccomandate includono l’implementazione dell’autenticazione multi-fattore su RDP, l’eliminazione di eventuali endpoint RDP esposti a Internet, l’applicazione di patch per tutti i CVE menzionati, il monitoraggio di loader binari noti e utility di eliminazione dell’AV, e l’utilizzo del rilevamento degli endpoint per bloccare l’esecuzione di script sospetti. Mantenere aggiornata la firma di Windows Defender e limitare l’uso di driver non firmati o non verificati riduce ulteriormente l’esposizione alle tecniche osservate.

Risposta

Una volta rilevata l’attività, isola immediatamente l’host interessato, termina i processi di GuLoader o di downloader sospetti, e cattura la memoria volatile per l’analisi. Esegui una revisione completa del possibile dump delle credenziali, blocca hash e nomi file dannosi conosciuti, e correggi i CVE sfruttati. Dove possibile, ripristina i dati criptati da backup verificati e allerta i team di risposta e gestione degli incidenti appropriati.

mermaid graph TB %% Class Definitions Section classDef action fill:#99ccff %% Node definitions initial_access_rdp[“<b>Azione</b> – <b>T1021.001 Servizi Remoti: RDP</b><br/><b>Descrizione</b>: Login RDP forza bruta usando NLBrute”] class initial_access_rdp action defense_evasion_impair[“<b>Azione</b> – <b>T1562 Impair Defenses</b><br/><b>Descrizione</b>: Disabilita Windows Defender tramite disable‑defender.exe e sfrutta driver vulnerabili”] class defense_evasion_impair action priv_esc_exploit[“<b>Azione</b> – <b>T1068 Sfruttamento per Escalation dei Privilegi</b><br/><b>Descrizione</b>: Sfrutta CVE‑2017‑0213, CVE‑2018‑8639, CVE‑2021‑41379, CVE‑2016‑0099”] class priv_esc_exploit action discovery_remote[“<b>Azione</b> – <b>T1018 Scoperta del Sistema Remoto</b><br/><b>Descrizione</b>: Scansione rete interna con NetScan, Advanced IP Scanner, Masscan”] class discovery_remote action lateral_movement_rdp[“<b>Azione</b> – <b>T1021 Servizi Remoti</b><br/><b>Descrizione</b>: Usa credenziali rubate per movimento laterale RDP e SMB”] class lateral_movement_rdp action credential_dumping[“<b>Azione</b> – <b>T1003 Dump delle Credenziali del Sistema Operativo</b><br/><b>Descrizione</b>: Estrai credenziali via Mimikatz, LaZagne, NetPass”] class credential_dumping action execution_vbs[“<b>Azione</b> – <b>T1059.005 Visual Basic</b><br/><b>Descrizione</b>: Esegui script VBS rilasciato da GuLoader”] class execution_vbs action impact_encrypt[“<b>Azione</b> – <b>T1486 Dati Criptati per Impatto</b><br/><b>Descrizione</b>: Cifra file con encryptor ransomware Makop”] class impact_encrypt action %% Connections showing attack flow initial_access_rdp u002du002d>|leads_to| defense_evasion_impair defense_evasion_impair u002du002d>|leads_to| priv_esc_exploit priv_esc_exploit u002du002d>|leads_to| discovery_remote discovery_remote u002du002d>|leads_to| lateral_movement_rdp lateral_movement_rdp u002du002d>|leads_to| credential_dumping credential_dumping u002du002d>|leads_to| execution_vbs execution_vbs u002du002d>|leads_to| impact_encrypt

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il controllo preliminare della telemetria e della baseline deve essere stato superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il narrativo DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrativa dell’Attacco & Comandi:

    1. Preparazione: L’attaccante ottiene una versione dannosa di ThrottleStop.sys che è strumentalizzata per sfruttare CVE‑2025‑7771 per l’escalation dei privilegi.
    2. Distribuzione: Il driver viene copiato nella directory dei driver del sistema (C:WindowsSystem32drivers).
    3. Esecuzione: Utilizzando sc.exe, l’attaccante crea e avvia un servizio che carica il driver dannoso, elevando così il processo a SYSTEM.
    4. Dopo l’escalation: Con il token elevato, l’attaccante può impersonare account ad alto privilegio (T1134.005), ma quel passaggio è al di fuori dell’ambito di questa regola.

  • Script di test per la regressione:

    # ----------------------------------------------------------------
# Simulate ThrottleStop.sys exploitation (CVE-2025-7771)
# ----------------------------------------------------------------
$driverPath = "$env:SystemRootSystem32driversThrottleStop.sys"

# 1. Drop the malicious driver (here we use a placeholder copy)
Write-Host "[*] Copying malicious ThrottleStop.sys to $driverPath"
# In a real test, replace the source with the actual malicious binary
Copy-Item -Path ".malicious_ThrottleStop.sys" -Destination $driverPath -Force

# 2. Register the driver as a kernel service
Write-Host "[*] Creating service for the driver"
sc.exe create ThrottleStopSvc binPath= "$driverPath" type= kernel start= demand | Out-Null

# 3. Start the driver (triggers Sysmon ImageLoad)
Write-Host "[*] Starting the driver service"
sc.exe start ThrottleStopSvc | Out-Null

Write-Host "[+] Driver loaded – should trigger detection rule."
# ----------------------------------------------------------------

  • Comandi di Pulizia:

    # Stop and delete the malicious driver service
sc.exe stop ThrottleStopSvc | Out-Null
sc.exe delete ThrottleStopSvc | Out-Null

# Remove the driver file
Remove-Item -Path "$env:SystemRootSystem32driversThrottleStop.sys" -Force

Write-Host "[*] Cleanup complete."

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis