Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Gli aggressori hanno abusato di Net Monitor for Employees e della piattaforma SimpleHelp per la gestione remota per mantenere un accesso persistente alle reti delle vittime. Operando attraverso strumenti commerciali legittimi, gli intrusi si sono mimetizzati mentre scaricavano payload successivi e tentavano di distribuire il ransomware Crazy (una variante di VoidCrypt). L’infrastruttura sovrapposta, domini C2 e indirizzi IP condivisi, suggerisce lo stesso operatore in entrambi gli incidenti. L’attivitĂ era motivata dal profitto, combinando il monitoraggio del furto di credenziali/criptovalute con il tentativo di estorsione tramite ransomware.
Indagine
Huntress ha documentato due intrusioni all’inizio del 2026 in cui Net Monitor for Employees ha abilitato la capacitĂ di shell inversa e la mascheratura dei servizi, mentre SimpleHelp ha fornito una persistenza di backup. Gli analisti hanno osservato un download rinominato di vhost.exe, l’esecuzione di winpty-agent.exe e tentativi di indebolire le difese manomettendo le impostazioni di Windows Defender. L’accesso iniziale includeva anche credenziali VPN compromesse e gli strumenti sono stati installati utilizzando l’esecuzione silenziosa di msiexec. Sono state scaricate piĂą copie del binario del ransomware Crazy (encrypt.exe), ma la fase del ransomware non è riuscita a partire.
Mitigazione
Dare prioritĂ all’autenticazione a piĂą fattori su tutti i percorsi di accesso remoto, minimizzare gli account privilegiati e segmentare le reti per limitare i movimenti laterali. Controllare aggressivamente gli strumenti di amministrazione di terze parti e avvisare su catene di processi sospetti, installazioni silenziose di msiexec e mascheramento dei nomi dei servizi. Bloccare o monitorare l’infrastruttura C2 nota e utilizzare il controllo delle applicazioni per impedire l’esecuzione di binari RMM non autorizzati.
Risposta
Se rilevati, isolare i sistemi interessati, interrompere i processi dannosi e rimuovere i servizi RMM non autorizzati. Conservare i principali artefatti (binari, tracce di installazione, log), bloccare domini/IP C2 correlati e reimpostare le credenziali compromesse. Eseguire un inventario dell’ambiente degli strumenti di amministrazione per convalidarne la legittimitĂ , quindi rimuovere le modifiche al registro e annullare eventuali tentativi di manomissione di Defender o di disabilitare i controlli di sicurezza.
“graph TB %% Class Definitions classDef technique fill:#e0f7fa classDef tool fill:#ffe0b2 classDef process fill:#d1c4e9 %% Nodes step1[“<b>Tecnica</b> – T1078 Account Validi<br/>Credenziali del fornitore SSL VPN compromesse utilizzate per l’accesso remoto.”] class step1 technique step2[“<b>Tecnica</b> – T1021.001 Servizi Remoti: Protocollo Desktop Remoto<br/>RDP utilizzato per accedere al controller di dominio.”] class step2 technique step3[“<b>Tecnica</b> – T1218.007 Esecuzione di Proxy di Binario del Sistema: Msiexec<br/>Net Monitor for Employees MSI installato silenziosamente.”] class step3 technique tool_msiexec[“<b>Strumento</b> – Msiexec<br/><b>Scopo</b>: Installare pacchetti MSI”] class tool_msiexec tool step4[“<b>Tecnica</b> – T1036 Mascheramento<br/>Servizio registrato come OneDriveSvc, processo rinominato OneDriver.exe quindi svchost.exe.”] class step4 technique step5[“<b>Tecnica</b> – T1136.002 Creare Account: Account Dominio<br/>Attivato l’Amministratore integrato e creati nuovi account.”] class step5 technique step5b[“<b>Tecnica</b> – T1136.001 Creare Account: Account Locale”] class step5b technique step5c[“<b>Tecnica</b> – T1098.007 Gruppi Locali o di Dominio Aggiuntivi<br/>Aggiunti account a gruppi privilegiati.”] class step5c technique step6[“<b>Tecnica</b> – T1012 Interrogare Registro<br/>Registro modificato per disabilitare Windows Defender.”] class step6 technique step6b[“<b>Tecnica</b> – T1553 Sovvertire Controlli di Fiducia<br/>Controlli di sicurezza disabilitati.”] class step6b technique step7[“<b>Tecnica</b> – T1059.001 PowerShell<br/>Utilizzato winptyu2011agent.exe per scaricare vhost.exe (SimpleHelp).”] class step7 technique tool_winpty[“<b>Strumento</b> – winptyu2011agent.exe<br/><b>Funzione</b>: Downloader di payload per PowerShell”] class tool_winpty tool malware_simplehelp[“<b>Malware</b> – vhost.exe (SimpleHelp)”] class malware_simplehelp process step8[“<b>Tecnica</b> – T1102 Servizio Web<br/>Comunicazioni bidirezionali e unidirezionali via HTTPS con domain fronting.”] class step8 technique step8b[“<b>Tecnica</b> – T1090.004 Domain Fronting<br/>Traffico HTTPS verso dronemaker.org e altri gateway.”] class step8b technique step9[“<b>Tecnica</b> – T1087.001 Scoperta Account: Account Locale<br/>Enumerati account locali tramite comandi net.”] class step9 technique step9b[“<b>Tecnica</b> – T1087.002 Scoperta Account: Account Dominio<br/>Enumerati account di dominio.”] class step9b technique step10[“<b>Tecnica</b> – T1486 Dati Cifrati per Impatto<br/>Tentativo di distribuzione del ransomware Crazy.”] class step10 technique malware_crazy[“<b>Malware</b> – ransomware Crazy”] class malware_crazy process step10b[“<b>Tecnica</b> – T1027.009 File o Informazioni Offuscati: Payload Incorporati<br/>Molteplici binari crittografati.”] class step10b technique step11[“<b>Tecnica</b> – T1574.010 Dirottamento del Flusso di Esecuzione: Debolezza nei Permessi di File di Servizi<br/>Binari e servizi rinominati per apparire legittimi.”] class step11 technique %% Connessioni step1 u002du002d>|conduce_a| step2 step2 u002du002d>|conduce_a| step3 step3 u002du002d>|utilizza| tool_msiexec step3 u002du002d>|conduce_a| step4 step4 u002du002d>|conduce_a| step5 step5 u002du002d>|relato_a| step5b step5b u002du002d>|relato_a| step5c step5c u002du002d>|conduce_a| step6 step6 u002du002d>|modifica| step6b step6b u002du002d>|conduce_a| step7 step7 u002du002d>|utilizza| tool_winpty tool_winpty u002du002d>|scarica| malware_simplehelp malware_simplehelp u002du002d>|conduce_a| step8 step8 u002du002d>|utilizza| step8b step8b u002du002d>|conduce_a| step9 step9 u002du002d>|conduce_a| step9b step9b u002du002d>|conduce_a| step10 step10 u002du002d>|consegna| malware_crazy malware_crazy u002du002d>|relato_a| step10b step10b u002du002d>|conduce_a| step11 “
Flusso di Attacco
Rilevamenti
Possibile Scoperta della Configurazione della Rete di Sistema (via cmdline)
Visualizza
Tentativi di Installazione Nascosta di InstalLatori Remoti MsiExec Sospetti (via cmdline)
Visualizza
Download o Upload via Powershell (via cmdline)
Visualizza
Binary/Script Sospetto in Posizione di Avvio Automatico (via file_event)
Visualizza
IOC (DestinationIP) da rilevare: Software di Monitoraggio dei Dipendenti e SimpleHelp Abusati in Operazioni di Ransomware
Visualizza
IOC (SourceIP) da rilevare: Software di Monitoraggio dei Dipendenti e SimpleHelp Abusati in Operazioni di Ransomware
Visualizza
IOC (HashSha256) da rilevare: Software di Monitoraggio dei Dipendenti e SimpleHelp Abusati in Operazioni di Ransomware
Visualizza
Download di File Potenzialmente Maligni con PowerShell [Windows PowerShell]
Visualizza
Rilevamento di Uso Malevolo di Software di Monitoraggio dei Dipendenti e SimpleHelp in Operazioni di Ransomware [Creazione Processo Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Prevolo Telematico e Baseline deve essere passato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirare a generare la telementria esatta prevista dalla logica di rilevamento.
-
Narrazione & Comandi dell’Attacco:
- Preparazione: L’aggressore copia un binario Windows benigno (
calc.exe) in un file chiamatonmep_agtconfig.exe, un suffisso monitorato che rappresenta l’agente SimpleHelp. - Esecuzione: Il binario rinominato viene lanciato, causando a Sysmon di registrare un evento di creazione di processo il cui
Immaginetermina connmep_agtconfig.exe. - Post-esecuzione: L’aggressore esegue opzionalmente un comando PowerShell one-liner all’interno del processo generato per simulare l’esecuzione del comando (illustrando T1059), ma questo comportamento aggiuntivo non è richiesto affinchĂ© la regola venga attivata.
- Preparazione: L’aggressore copia un binario Windows benigno (
-
Script di Test di Regressione:
# Script di simulazione – attiva la regola Sigma $src = "$env:SystemRootSystem32calc.exe" $dst = "$env:Tempnmep_agtconfig.exe" # Copia calc.exe con il nome mascherato Copy-Item -Path $src -Destination $dst -Force # Esegue il binario mascherato $proc = Start-Process -FilePath $dst -PassThru # Opzionale: all'interno della stessa sessione, esegue un comando innocuo per generare telemetria di riga di comando Start-Process -FilePath "powershell.exe" -ArgumentList '-NoProfile -Command "Write-Host Simulated payload."' -NoNewWindow # Output PID per cleanup Write-Output "Spawned PID: $($proc.Id)" -
Comandi di Pulizia:
# Termina il processo mascherato se ancora in esecuzione Get-Process -Name "nmep_agtconfig" -ErrorAction SilentlyContinue | Stop-Process -Force # Rimuove il file dal disco Remove-Item -Path "$env:Tempnmep_agtconfig.exe" -Force