Nightmare-Eclipse: dalla PoC pubblica ad attacchi nel mondo reale

SOC Prime Team

Segui

Nightmare-Eclipse: dalla PoC pubblica ad attacchi nel mondo reale

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Riepilogo

Huntress ha documentato un’intrusione dal vivo in cui gli attaccanti hanno utilizzato strumenti di escalation dei privilegi disponibili pubblicamente noti come BlueHammer, RedSun e UnDefend. L’operazione è iniziata con credenziali compromesse di FortiGate SSL VPN, che hanno concesso agli intrusi l’accesso all’ambiente e permesso loro di installare binari malevoli nelle cartelle scrivibili dagli utenti. Una volta all’interno, hanno eseguito comandi di ricognizione e distribuito un’utilità di tunneling personalizzata basata su Go chiamata BeigeBurrow. Il caso evidenzia come gli strumenti di exploit proof-of-concept possano rapidamente passare dalla pubblicazione alla reale attività di intrusione.

Indagine

L’indagine ha rintracciato l’attività malevola fino a sessioni VPN SSL FortiGate compromesse, provenienti da indirizzi IP in Russia, Singapore e Svizzera. Gli analisti hanno trovato binari inclusi FunnyApp.exe, RedSun.exe, undef.exe, e un agente di tunneling basato su Go chiamato agent.exe memorizzato in Immagini and Download le directory. Gli attaccanti hanno eseguito comandi manuali come whoami /priv, cmdkey /list, e net group per enumerare privilegi e credenziali. L’agente di tunneling ha stabilito un tunnel inverso basato su yamux a staybud.dpdns.org sul porto 443 per mantenere l’accesso remoto.

Mitigazione

I difensori dovrebbero monitorare l’esecuzione da percorsi utente scrivibili insoliti, rilevare i nomi dei binari noti e indagare sugli avvisi di Microsoft Defender come Exploit:Win32/DfndrPEBluHmr.BZ e rilevamenti correlati a EICAR. I registri VPN dovrebbero essere esaminati per accessi sospetti da geografie ampiamente separate, e qualsiasi indirizzo IP di origine non attendibile dovrebbe essere bloccato. I team di sicurezza dovrebbero anche implementare rilevamenti endpoint per l’attività di BlueHammer, RedSun e UnDefend e prioritizzare la mitigazione per CVE-2026-33825.

Risposta

Se viene rilevata questa attività, isolare immediatamente l’endpoint interessato, terminare l’agente di tunneling e rimuovere tutti i binari installati dall’host. Resettare le credenziali VPN compromesse e applicare l’autenticazione a due fattori per l’accesso remoto. Gli addetti alla gestione degli incidenti dovrebbero anche eseguire una revisione completa per il dumping delle credenziali, applicare la patch di Microsoft per CVE-2026-33825, e cercare nell’ambiente eventuali tracce rimanenti degli strumenti di escalation dei privilegi.

"graph TB %% Class definitions classDef action fill:#99ccff classDef builtin fill:#ffcc99 classDef malware fill:#ccffcc %% Nodes u2013 Actions action_initial_access["Action – T1078 Valid Accounts Credenziali compromesse di FortiGate SSL VPN forniscono accesso legittimo alla rete."] class action_initial_access action action_execution["Action – Esecuzione da percorsi scrivibili dall’utente I binari posizionati in Immagini e Download vengono eseguiti."] class action_execution action action_priv_esc_exploit["Action – T1068 Exploitation for Privilege Escalation BlueHammer sfrutta una vulnerabilità TOCTOU in Windows Defender per ottenere un handle al database SAM e elevare a SYSTEM."] class action_priv_esc_exploit action action_priv_esc_abuse["Action – T1548 Abuse Elevation Control Mechanism RedSun utilizza una condizione di race nella flusso di rimedio del file cloud di Defender per scrivere un eseguibile malevolo in C:WindowsSystem32 e ottenere privilegi SYSTEM."] class action_priv_esc_abuse action action_credential_dump["Action – T1003 OS Credential Dumping BlueHammer legge il SAM hive da una Volume Shadow Copy per estrarre gli hash delle password NTLM."] class action_credential_dump action action_pass_the_hash["Action – T1550.002 Pass the Hash Gli hash estratti sono destinati al movimento laterale usando Pass-the-Hash (non osservato con successo)."] class action_pass_the_hash action action_defense_evasion["Action – T1211 Exploitation for Defense Evasion UnDefend blocca i file di definizione di Defender e impedisce il riavvio dei servizi, disabilitando temporaneamente l’antivirus."] class action_defense_evasion action action_c2["Action – T1071.001 Web Protocols L’agente BeigeBurrow crea un tunnel HTTPS inverso persistente usando la libreria di multiplexing yamux."] class action_c2 action %% Nodes u2013 Malware / Tools malware_funnyapp["Malware – Nome: FunnyApp.exe Posizione: UserImmagini"] class malware_funnyapp malware malware_redsun["Malware – Nome: RedSun.exe Posizione: UserDownload"] class malware_redsun malware malware_undef["Malware – Nome: undef.exe Posizione: UserDownload"] class malware_undef malware malware_z["Malware – Nome: z.exe Posizione: UserDownload"] class malware_z malware malware_beigeburrow["Malware – Nome: BeigeBurrow agent (agent.exe)"] class malware_beigeburrow malware tool_bluehammer["Tool – Nome: BlueHammer Descrizione: Sfrutta TOCTOU di Defender per catturare l’handle SAM e scaricare le credenziali."] class tool_bluehammer builtin tool_redsun["Tool – Nome: RedSun Descrizione: Scrive l’eseguibile malevolo in C:WindowsSystem32 tramite condizione di race di Defender."] class tool_redsun builtin tool_undefend["Tool – Nome: UnDefend Descrizione: Blocca i file di definizione AV e previene il riavvio dei servizi di Defender."] class tool_undefend builtin %% Connections u2013 Attack Flow action_initial_access –>|porta_a| action_execution action_execution –>|esegue| malware_funnyapp action_execution –>|esegue| malware_redsun action_execution –>|esegue| malware_undef action_execution –>|esegue| malware_z malware_redsun –>|usa| tool_redsun malware_funnyapp –>|lancia| tool_bluehammer action_priv_esc_exploit –>|usa| tool_bluehammer action_priv_esc_exploit –>|porta_a| action_priv_esc_abuse action_priv_esc_abuse –>|usa| tool_redsun action_priv_esc_abuse –>|consente| action_credential_dump action_credential_dump –>|produce| action_pass_the_hash action_defense_evasion –>|usa| tool_undefend action_c2 –>|stabilito_da| malware_beigeburrow "

Flusso di Attacco

Narrativa dell’Attacco & Comandi:
Un avversario che ha ottenuto un punto d’appoggio su un host Windows desidera confermare il livello di privilegio dell’account compromesso ed enumerare le credenziali memorizzate e i gruppi di dominio per il movimento laterale. Per rimanere sotto il radar, l’attaccante utilizza binari nativi di Windows (whoami, cmdkey, net) eseguiti direttamente da un prompt di PowerShell, evitando strumenti di terze parti che genererebbero avvisi aggiuntivi. Ogni comando crea un processo, producendo un record Event ID 4688 con la linea di comando esatta per cui la regola Sigma è impostata.

Script del Test di Regressione:

 # -----------------------------------------------------------------
  # Simula Ricognizione Manuale della Tastiera per attivare la regola Sigma
  # -----------------------------------------------------------------
  # 1. Visualizza i privilegi del token attuale
  whoami /priv

  # 2. Elenca le credenziali Windows salvate
  cmdkey /list

  # 3. Elenca i gruppi di dominio (richiede contesto di dominio)
  net group

  # Pausa per consentire l'ingestione da SIEM
  Start-Sleep -Seconds 10

Comandi di Pulizia:

 # Rimuovi eventuali artefatti temporanei (nessuno creato)
  # Cancella la cronologia dei comandi di PowerShell per furtività (opzionale)
  Clear-History

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis