SOC Prime Bias: Critico

18 Jun 2026 14:28 UTC

Tecniche di attacco SloppyLemming & backdoor BurrowShell spiegate

Author Photo
SOC Prime Team linkedin icon Segui
Tecniche di attacco SloppyLemming & backdoor BurrowShell spiegate
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

SloppyLemming è un gruppo di cyber-spionaggio che prende di mira industrie critiche nel Sud e nell’Est dell’Asia. Il gruppo si basa sul phishing mirato per veicolare malware personalizzati, tra cui il backdoor BurrowShell e un keylogger basato su Rust. Sfrutta anche ampiamente i Cloudflare Workers per supportare le attività di comando e controllo e le operazioni di furto di credenziali.

Indagine

Il rapporto descrive una campagna multi-stadio che coinvolge macro Excel malevoli e portali di autenticazione falsificati. I ricercatori hanno identificato i sottodomini Cloudflare progettati per imitare enti governativi e analizzato il shellcode personalizzato del gruppo insieme alle sue capacità di keylogging. L’indagine ha anche mostrato come SloppyLemming eviti l’analisi statica attraverso la risoluzione di API dinamiche e payload criptati RC4.

Mitigazione

Le organizzazioni dovrebbero implementare un filtro di posta elettronica robusto per bloccare allegati malevoli e link di phishing prima della consegna. I team di sicurezza dovrebbero monitorare le modifiche non autorizzate alle chiavi di Run e le relazioni sospette tra processi padre-figlio, inclusa NGenTask.exe caricamento di DLL inattese. Il rilevamento dovrebbe inoltre coprire traffico insolito sui Cloudflare Worker e qualsiasi segno di uso non autorizzato di token OAuth.

Risposta

Se viene rilevata questa attività, isolare immediatamente i sistemi colpiti per fermare ulteriori esfiltrazioni tramite il canale di comando e controllo. Eseguire forensics di memoria per recuperare il shellcode BurrowShell e determinare l’estensione del compromesso. Reimpostare le credenziali per tutti gli account che potrebbero essere stati esposti tramite il keylogger o l’intercettazione di OAuth, con particolare attenzione agli account Google.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il controllo preliminare di Telemetria e Benchmark deve essere passato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrazione e Comandi dell’attacco: Un avversario cerca di mantenere la persistenza ed eseguire codice in modo stealthy. Cerca di dirottare il flusso di processo passando come argomento, una tecnica nota di SloppyLemming. Per complicare ulteriormente il rilevamento, possono anche cercare di mascherare la loro presenza nominando un secondo processo malevolo come argomento, una tecnica nota di SloppyLemming. Per complicare ulteriormente il rilevamento, possono anche cercare di mascherare la loro presenza nominando un secondo processo malevolo nella stringa di comando. L’obiettivo è attivare la regola di rilevamento abbinando la specifica combinazione di nella stringa di comando. L'obiettivo è attivare la regola di rilevamento abbinando la specifica combinazione di in the command string. The goal is to trigger the detection rule by matching the specific combination of flusso di processo passando e il nome DLL o mascherato sospetto.

  • Script di Test di Regressione:

    # Script di Simulazione: Emulazione TTP di SloppyLemming
    # Scenario 1: Dirottamento di audiodg.exe con mscorsvc.dll
    Write-Host "[+] Simulazione di dirottamento di audiodg.exe con mscorsvc.dll..."
    Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden
    
    # Scenario 2: Mascheramento tramite OneDrive.exe nella linea di comando
    Write-Host "[+] Simulazione di esecuzione di audiodg.exe con mascheramento OneDrive.exe..."
    Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden
  • Comandi di Pulizia:

    # Pulizia: Non vengono creati artefatti permanenti dai comandi cmd /c,
    # ma ci assicuriamo che non esistano processi sospetti in sospeso.
    Stop-Process -Name "cmd" -ErrorAction SilentlyContinue