Tecniche di attacco SloppyLemming & backdoor BurrowShell spiegate
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
SloppyLemming è un gruppo di cyber-spionaggio che prende di mira industrie critiche nel Sud e nell’Est dell’Asia. Il gruppo si basa sul phishing mirato per veicolare malware personalizzati, tra cui il backdoor BurrowShell e un keylogger basato su Rust. Sfrutta anche ampiamente i Cloudflare Workers per supportare le attività di comando e controllo e le operazioni di furto di credenziali.
Indagine
Il rapporto descrive una campagna multi-stadio che coinvolge macro Excel malevoli e portali di autenticazione falsificati. I ricercatori hanno identificato i sottodomini Cloudflare progettati per imitare enti governativi e analizzato il shellcode personalizzato del gruppo insieme alle sue capacità di keylogging. L’indagine ha anche mostrato come SloppyLemming eviti l’analisi statica attraverso la risoluzione di API dinamiche e payload criptati RC4.
Mitigazione
Le organizzazioni dovrebbero implementare un filtro di posta elettronica robusto per bloccare allegati malevoli e link di phishing prima della consegna. I team di sicurezza dovrebbero monitorare le modifiche non autorizzate alle chiavi di Run e le relazioni sospette tra processi padre-figlio, inclusa NGenTask.exe caricamento di DLL inattese. Il rilevamento dovrebbe inoltre coprire traffico insolito sui Cloudflare Worker e qualsiasi segno di uso non autorizzato di token OAuth.
Risposta
Se viene rilevata questa attività, isolare immediatamente i sistemi colpiti per fermare ulteriori esfiltrazioni tramite il canale di comando e controllo. Eseguire forensics di memoria per recuperare il shellcode BurrowShell e determinare l’estensione del compromesso. Reimpostare le credenziali per tutti gli account che potrebbero essere stati esposti tramite il keylogger o l’intercettazione di OAuth, con particolare attenzione agli account Google.
Flusso di Attacco
Rilevamenti
Possibile abuso del dominio di sviluppo Cloudflare (via dns)
Visualizza
Punti di persistenza possibili [ASEP – Software/NTUSER Hive] (via evento registro)
Visualizza
Possibile doppia estensione di file malevolo (via creazione processo)
Visualizza
Monitoraggio della comunicazione C2 SloppyLemming via BurrowShell [Connessione Rete di Windows]
Visualizza
Rilevamento di attività malevola da parte del gruppo SloppyLemming [Creazione Processi di Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il controllo preliminare di Telemetria e Benchmark deve essere passato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrazione e Comandi dell’attacco: Un avversario cerca di mantenere la persistenza ed eseguire codice in modo stealthy. Cerca di dirottare il
flusso di processo passandocome argomento, una tecnica nota di SloppyLemming. Per complicare ulteriormente il rilevamento, possono anche cercare di mascherare la loro presenza nominando un secondo processo malevolocome argomento, una tecnica nota di SloppyLemming. Per complicare ulteriormente il rilevamento, possono anche cercare di mascherare la loro presenza nominando un secondo processo malevolonella stringa di comando. L’obiettivo è attivare la regola di rilevamento abbinando la specifica combinazione dinella stringa di comando. L'obiettivo è attivare la regola di rilevamento abbinando la specifica combinazione diin the command string. The goal is to trigger the detection rule by matching the specific combination offlusso di processo passandoe il nome DLL o mascherato sospetto. -
Script di Test di Regressione:
# Script di Simulazione: Emulazione TTP di SloppyLemming # Scenario 1: Dirottamento di audiodg.exe con mscorsvc.dll Write-Host "[+] Simulazione di dirottamento di audiodg.exe con mscorsvc.dll..." Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden # Scenario 2: Mascheramento tramite OneDrive.exe nella linea di comando Write-Host "[+] Simulazione di esecuzione di audiodg.exe con mascheramento OneDrive.exe..." Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden -
Comandi di Pulizia:
# Pulizia: Non vengono creati artefatti permanenti dai comandi cmd /c, # ma ci assicuriamo che non esistano processi sospetti in sospeso. Stop-Process -Name "cmd" -ErrorAction SilentlyContinue