Volpe Argentata Prende di Mira l’India con Esca di Phishing a Tema Fiscale
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un gruppo APT cinese chiamato Silver Fox conduce una campagna di phishing a tema fiscale contro entità indiane. L’email iniziale contiene un PDF che indirizza le vittime a un dominio malevolo e attiva il download di un file ZIP. Lo ZIP contiene un installer NSIS che rilascia Thunder.exe e una libexpat.dll malevola che esegue l’hijacking delle DLL, controlli anti-analisi e carica shellcode criptato. Il payload finale è un Valley RAT che riceve configurazioni da un’infrastruttura C2 a più livelli.
Indagine
Il report dettaglia quattro fasi: (1) consegna di un ZIP tramite un’esca PDF, (2) esecuzione di un installer NSIS che rilascia Thunder.exe e libexpat.dll, (3) un loader di shellcode generato da Donut che inietta in explorer.exe, e (4) distribuzione di Valley RAT con persistenza basata sul registro e plugin modulari. L’analisi include un esame statico e dinamico dei binari, enumerazione di domini C2 e mappatura alle tecniche ATT&CK.
Mitigazione
I difensori dovrebbero monitorare per binari firmati che caricano DLL non firmate da posizioni temporanee, scritture nel registro sotto HKCUConsole, e creazione anomala di memoria PAGE_EXECUTE_READWRITE in explorer.exe. Bloccare domini e IP C2 noti e rilevare comportamenti di fallback multi-livello ridurranno l’esposizione. Implementare un controllo rigoroso delle applicazioni e il rilevamento dell’evasione della sandbox per fermare l’installer NSIS iniziale.
Risposta
Quando viene osservato un indicatore, isolare l’host interessato, raccogliere la memoria volatile per l’analisi dell’iniezione di processi, e cercare chiavi di registro e plugin di Valley RAT. Bloccare tutta l’infrastruttura C2 identificata e resettare le credenziali compromesse. Condurre una revisione forense completa per identificare eventuali plugin aggiuntivi o strumenti di movimento laterale.
Flusso di attacco
Rilevamenti
Possibili Punti di Persistenza [ASEP – Software/NTUSER Hive] (tramite evento del registro)
Visualizza
Comando e Controllo Sospetto tramite Richiesta DNS di Dominio di Primo Livello Insolito (TLD) (tramite dns)
Visualizza
Processo Sospetto senza Argomenti (tramite cmdline)
Visualizza
IOC (SourceIP) per rilevare: Silver Fox che prende di mira l’India usando esche di phishing a tema fiscale
Visualizza
IOC (HashSha256) per rilevare: Silver Fox che prende di mira l’India usando esche di phishing a tema fiscale
Visualizza
IOC (DestinationIP) per rilevare: Silver Fox che prende di mira l’India usando esche di phishing a tema fiscale
Visualizza
Rilevazione dell’Hijacking delle DLL tramite Thunder.exe e Iniezione di Processi in Explorer.exe [Creazione Processo Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere stato superato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione dell’Attacco & Comandi:
Un avversario consegna una DLL malevola insieme a un “Thunder.exe” rilasciato alla%TEMP%direttorio della vittima. Per evitare sospetti da parte dell’utente, il payload è lanciato tramite l’explorer.exeprocesso già in esecuzione utilizzando l’ShellExecuteAPI di Windows, che si traduce in un evento di creazione di processo doveexplorer.exeappare come genitore. Il malevoloThunder.exesuccessivamente carica la DLL malevola (hijacking delle DLL) e inietta shellcode nelexplorer.exeprocesso (iniezione di processo), ottenendo l’esecuzione di codice con il token dell’utente. -
Script di Test di Regressione:
# ------------------------------------------------- # Script di regressione per attivare il rilevamento Sigma # ------------------------------------------------- # 1. Preparare un falso Thunder.exe (copia di notepad.exe) $tempDir = "$env:TEMP" $thunderPath = Join-Path -Path $tempDir -ChildPath "Thunder.exe" Copy-Item -Path "$env:SystemRootsystem32notepad.exe" -Destination $thunderPath -Force # 2. (Opzionale) Rilasciare una DLL malevola accanto per imitare l'hijacking $malDll = Join-Path -Path $tempDir -ChildPath "malicious.dll" # Per dimostrazione creiamo solo un file vuoto; in un test reale questa sarebbe una DLL appositamente creata. New-Item -Path $malDll -ItemType File -Force | Out-Null # 3. Lanciare Thunder.exe tramite explorer.exe usando ShellExecute (simulato con Start-Process -Verb RunAs) $explorer = (Get-Process -Name explorer).Id # Usa PowerShell per avviare il processo con explorer come genitore (richiede API a basso livello; qui approssimiamo) Start-Process -FilePath $thunderPath -ArgumentList "" -PassThru | Out-Null # 4. Attendiamo un breve periodo per consentire la generazione di log Start-Sleep -Seconds 5 # 5. Clean-up (gestito nella sezione successiva) -
Comandi di Pulizia:
# ------------------------------------------------- # Pulizia dopo la simulazione # ------------------------------------------------- # Rimuovere il falso Thunder.exe e la DLL fittizia da %TEMP% Remove-Item -Path "$env:TEMPThunder.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPmalicious.dll" -Force -ErrorAction SilentlyContinue # Termina eventuali processi Thunder.exe residui Get-Process -Name "Thunder" -ErrorAction SilentlyContinue | Stop-Process -Force